Access-Control-Allow-Origin

优质
小牛编辑
126浏览
2023-12-01

Access-Control-Allow-Origin响应 header 指示是否该响应可以与具有给定资源共享原点。

Header type

Response header

Forbidden header name

no

语法

Access-Control-Allow-Origin: *Access-Control-Allow-Origin: <origin>

指令

* 对于没有凭据的请求,服务器可以指定“*”作为通配符,从而允许任何来源访问资源。<origin> 指定可以访问资源的 URI 。

例子

要允许任何资源访问您的资源,您可以指定:

Access-Control-Allow-Origin: *

要允许https://developer.mozilla.org访问您的资源,您可以指定:

Access-Control-Allow-Origin: https://developer.mozilla.org

CORS 和缓存

如果服务器指定了原始主机而不是“ *”,那么它还必须包含OriginVary响应 header 中,以向客户机指出服务器响应将根据Origin请求 header 的值而有所不同。

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

规范

Specification

Status

Comment

FetchThe definition of 'Access-Control-Allow-Origin' in that specification.

Living Standard

Initial definition.

浏览器兼容性

Feature

Chrome

Edge

Firefox

Internet Explorer

Opera

Safari

Basic Support

4

12

3.5

10

12

4

Feature

Android

Chrome for Android

Edge mobile

Firefox for Android

IE mobile

Opera Android

iOS Safari

Basic Support

2.1

(Yes)

(Yes)

1.0

(Yes)

12

3.2