Access-Control-Allow-Origin
Access-Control-Allow-Origin
Access-Control-Allow-Origin
响应 header 指示是否该响应可以与具有给定资源共享原点。
Header type | Response header |
---|---|
Forbidden header name | no |
语法
Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>
指令
* 对于没有凭据的请求,服务器可以指定“*”作为通配符,从而允许任何来源访问资源。<origin> 指定可以访问资源的 URI 。
例子
要允许任何资源访问您的资源,您可以指定:
Access-Control-Allow-Origin: *
要允许https://developer.mozilla.org
访问您的资源,您可以指定:
Access-Control-Allow-Origin: https://developer.mozilla.org
CORS 和缓存
如果服务器指定了原始主机而不是“ *
”,那么它还必须包含Origin
在Vary
响应 header 中,以向客户机指出服务器响应将根据Origin
请求 header 的值而有所不同。
Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin
规范
Specification | Status | Comment |
---|---|---|
FetchThe definition of 'Access-Control-Allow-Origin' in that specification. | Living Standard | Initial definition. |
浏览器兼容性
Feature | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
---|---|---|---|---|---|---|
Basic Support | 4 | 12 | 3.5 | 10 | 12 | 4 |
Feature | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
---|---|---|---|---|---|---|---|
Basic Support | 2.1 | (Yes) | (Yes) | 1.0 | (Yes) | 12 | 3.2 |