Access-Control-Allow-Origin

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

O Access-Control-Allow-Origin cabeçalho de resposta indica se os recursos da resposta podem ser compartilhados com a origin dada.

Tipo de cabeçalho Response header
Forbidden header name no

Sintaxe

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>

Diretivas

*

Para as requisições sem credenciais, o servidor pode especificar "*" como um curinga, permitindo assim que qualquer origem acesse o recurso.

<origin>

Especifica a URI que pode acessar o recurso.

Exemplos

Para permitir que qualquer origin acesse o seu recurso, você pode especificar desta forma:

Access-Control-Allow-Origin: *

Para permitir que https://developer.mozilla.org acesse seu recurso, você pode especificar:

Access-Control-Allow-Origin: https://developer.mozilla.org

CORS e caching

Se o servidor especificar um host de origem em vez de "*", ele também deverá incluir "Origin" no cabeçalho de resposta Vary para indicar aos clientes que as respostas do servidor serão diferentes com base no valor da solicitação Origin cabeçalho.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Especificações

Specification
Fetch
# http-access-control-allow-origin

Compatibilidade com navegadores

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Access-Control-Allow-Origin

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Veja também