Access-Control-Allow-Origin
El encabezado de respuesta Access-Control-Allow-Origin
indica si los recursos de la respuesta pueden ser compartidos con el origen dado.
Tipo de encabezado | Encabezado de respuesta |
---|---|
Nombre de encabezado prohibido | no |
Sintaxis
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origen> Access-Control-Allow-Origin: null
Directivas
*
-
Para las peticiones sin credenciales, el servidor puede especificar el caracter "*" como un comodín, permitiendo a cualquier origen acceder al recurso. El acceso será permitido solamente para las peticiones hechas con el atributo
crossorigin
definido como"anonymous"
. Intentar usar el comodín con credenciales resultará en un error. <origen>
-
Especifica que origen puede acceder al recurso. Sólo se puede especificar un origen.
Ejemplos
Para permitir a cualquier origen el acceso a tus recursos, puedes especificar:
Access-Control-Allow-Origin: *
Una respuesta que le dice al navegador que permita la petición de código del origen https://developer.mozilla.org
para acceder a los recursos que incluyan lo siguiente:
Access-Control-Allow-Origin: https://developer.mozilla.org
Limitando los posibles valores Access-Control-Allow-Origin
de un conjunto de orígenes permitidos requiere código del lado del servidor para revisar el valor de la encabezado de petición Origin
, comparan con la lista de valores permitidos, y entonces si el valor Origin
se encuentra en la lista, para definir el valor de Access-Control-Allow-Origin
al mismo valor que Origin
.
CORS y caché
Si el servidor envía una respuesta con un valor Access-Control-Allow-Origin
que es un origen explícito (en lugar del comodín "*
"), entonces a respuesta debería incluir también el encabezado de respuesta Vary
con el valor origin
- para indicar a los navegadores que las respuestas del servidor pueden diferir basadas en el valor del encabezado de respueta Origin
.
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin
Especificaciones
Specification |
---|
Fetch Standard # http-access-control-allow-origin |
Compatibilidad con navegadores
BCD tables only load in the browser