1. Web
  2. HTTP
  3. Reference
  4. En-têtes HTTP
  5. Access-Control-Allow-Origin

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Access-Control-Allow-Origin

Baseline Widely available

Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis ⁨juillet 2015⁩.

L'entête Access-Control-Allow-Origin renvoie une réponse indiquant si les ressources peuvent être partagées avec une origine donnée.

Header type Response header
Forbidden header name no

Syntaxe

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: <origin>
Access-Control-Allow-Origin: null

Directives

*

Pour les demandes sans informations d'identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n'importe quelle origine d'accéder à la ressource.

<origin>

Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.

Exemples

Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: *

Pour permettre https://big.rakal.top d'accéder à vos ressources, vous pouvez indiquer :

Access-Control-Allow-Origin: https://big.rakal.top

CORS et le cache

Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "Origin" dans l'en-tête de réponse "Vary" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.

Access-Control-Allow-Origin: https://big.rakal.top
Vary: Origin

Spécifications

Specification
Fetch
# http-access-control-allow-origin

Compatibilité des navigateurs

Voir aussi

Help improve MDN

Learn how to contribute

Cette page a été modifiée le par les contributeurs du MDN.

View this page on GitHubReport a problem with this content