los Access-Control-Allow-Origin El encabezado de respuesta indica si la respuesta se puede compartir con el código de solicitud del origen.

Tipo de encabezado Encabezado de respuesta
Nombre de encabezado prohibido no

Sintaxis

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: 
Access-Control-Allow-Origin: null

Directivas

*
Para solicitudes sin credenciales, el valor literal “*“se puede especificar, como un comodín; el valor le dice a los navegadores que permitan solicitar el código de cualquier origen para acceder al recurso. Si intenta utilizar el comodín con las credenciales, se producirá un error.
Especifica un origen. Solo se puede especificar un único origen. Si el servidor admite clientes de varios orígenes, debe devolver el origen del cliente específico que realiza la solicitud.
null
Especifica el origen “null”. Nota:nullNo debería ser usado: “Puede parecer seguro volver Access-Control-Allow-Origin: "null", pero la serialización del Origen de cualquier recurso que utilice un esquema no jerárquico (como data: o file:) y los documentos en espacio aislado se definen como “null”. Muchos agentes de usuario otorgarán acceso a dichos documentos a una respuesta con un Access-Control-Allow-Origin: "null" encabezado, y cualquier origen puede crear un documento hostil con un “null”Origen. El”null”Por lo tanto, debe evitarse el valor del encabezado ACAO”.

Ejemplos de

Una respuesta que le dice al navegador que permita que el código de cualquier origen acceda a un recurso incluirá lo siguiente:

Access-Control-Allow-Origin: *

Una respuesta que le dice al navegador que permita solicitar código desde el origen. https://developer.mozilla.org para acceder a un recurso se incluirá lo siguiente:

Access-Control-Allow-Origin: https://developer.mozilla.org

Limitando lo posible Access-Control-Allow-Origin valores a un conjunto de orígenes permitidos requiere código en el lado del servidor para verificar el valor de la Origin encabezado de solicitud, compárelo con una lista de orígenes permitidos, y luego si el Origin el valor está en la lista, para establecer el Access-Control-Allow-Origin valor al mismo valor que el Origin valor.

CORS y almacenamiento en caché

Si el servidor envía una respuesta con un Access-Control-Allow-Origin valor que es un origen explícito (en lugar del “*“comodín), la respuesta también debe incluir un Vary encabezado de respuesta con el valor Origin – para indicar a los navegadores que las respuestas del servidor pueden diferir según el valor de la Origin encabezado de solicitud.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

Especificaciones

Especificación Estado Comentario
Ir a buscar
La definición de ‘Acceso-Control-Permitir-Origen’ en esa especificación.
Estándar de vida Definición inicial.

Compatibilidad del navegadorActualizar datos de compatibilidad en GitHub

Escritorio
Cromo Borde Firefox explorador de Internet Ópera Safari
Access-Control-Allow-Origin 4 12 3,5 10 12 4
Móvil
Vista web de Android Chrome para Android Firefox para Android Opera para Android Safari en iOS Internet de Samsung
Access-Control-Allow-Origin 2 4 12 3.2

Ver también

  • Origin
  • Vary
  • Uso compartido de recursos de origen cruzado (CORS)
  • Cross-Origin-Resource-Policy

© 2005–2020 Mozilla y colaboradores individuales.
Con licencia de Creative Commons Attribution-ShareAlike License v2.5 o posterior.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin