Access-Control-Allow-Origin

El encabezado de respuesta Access-Control-Allow-Origin indica si los recursos de la respuesta pueden ser compartidos con el origen dado.

Tipo de encabezado Encabezado de respuesta
Nombre de encabezado prohibido no

Sintaxis

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origen>
Access-Control-Allow-Origin: null

Directivas

*

Para las peticiones sin credenciales, el servidor puede especificar el caracter "*" como un comodín, permitiendo a cualquier origen acceder al recurso. El acceso será permitido solamente para las peticiones hechas con el atributo crossorigin definido como "anonymous". Intentar usar el comodín con credenciales resultará en un error.

<origen>

Especifica que origen puede acceder al recurso. Sólo se puede especificar un origen.

Ejemplos

Para permitir a cualquier origen el acceso a tus recursos, puedes especificar:

Access-Control-Allow-Origin: *

Una respuesta que le dice al navegador que permita la petición de código del origen https://developer.mozilla.org para acceder a los recursos que incluyan lo siguiente:

Access-Control-Allow-Origin: https://developer.mozilla.org

Limitando los posibles valores Access-Control-Allow-Origin de un conjunto de orígenes permitidos requiere código del lado del servidor para revisar el valor de la encabezado de petición Origin, comparan con la lista de valores permitidos, y entonces si el valor Origin se encuentra en la lista, para definir el valor de Access-Control-Allow-Origin al mismo valor que Origin.

CORS y caché

Si el servidor envía una respuesta con un valor Access-Control-Allow-Origin que es un origen explícito (en lugar del comodín "*"), entonces a respuesta debería incluir también el encabezado de respuesta Vary con el valor origin - para indicar a los navegadores que las respuestas del servidor pueden diferir basadas en el valor del encabezado de respueta Origin.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Especificaciones

Specification
Fetch Standard
# http-access-control-allow-origin

Compatibilidad con navegadores

BCD tables only load in the browser

Veáse también