Access-Control-Allow-Origin

L'entête Access-Control-Allow-Origin renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.

Syntaxe

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>
Access-Control-Allow-Origin: null

Directives

*

Pour les demandes sans informations d’identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n’importe quelle origine d'accéder à la ressource.

<origin>

Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.

Exemples

Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: *

Pour permettre https://developer.mozilla.org d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: https://developer.mozilla.org

CORS et le cache

Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origine" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Caractéristiques

Compatibilité

The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.

Voir aussi

• Origin
• Vary