El encabezado de respuesta Access-Control-Allow-Origin indica si los recursos de la respuesta pueden ser compartidos con el {{glossary("origin", "origen")}} dado.
| Tipo de encabezado | {{Glossary("Response header", "Encabezado de respuesta")}} |
|---|---|
| {{Glossary("Forbidden header name", "Nombre de encabezado prohibido")}} | no |
Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origen> Access-Control-Allow-Origin: null
*"anonymous". Intentar usar el comodín con credenciales resultará en un error.<origen>Para permitir a cualquier origen el acceso a tus recursos, puedes especificar:
Access-Control-Allow-Origin: *
Una respuesta que le dice al navegador que permita la petición de código del origen https://developer.mozilla.org para acceder a los recursos que incluyan lo siguiente:
Access-Control-Allow-Origin: https://developer.mozilla.org
Limitando los posibles valores Access-Control-Allow-Origin de un conjunto de orígenes permitidos requiere código del lado del servidor para revisar el valor de la encabezado de petición {{HTTPHeader("Origin")}}, comparan con la lista de valores permitidos, y entonces si el valor {{HTTPHeader("Origin")}} se encuentra en la lista, para definir el valor de Access-Control-Allow-Origin al mismo valor que {{HTTPHeader("Origin")}}.
Si el servidor envía una respuesta con un valor Access-Control-Allow-Origin que es un origen explícito (en lugar del comodín "*"), entonces a respuesta debería incluir también el encabezado de respuesta {{HTTPHeader("Vary")}} con el valor origin - para indicar a los navegadores que las respuestas del servidor pueden diferir basadas en el valor del encabezado de respueta Origin.
Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin
| Especificación | Estado | Comentario |
|---|---|---|
| {{SpecName('Fetch','#http-access-control-allow-origin', 'Access-Control-Allow-Origin')}} | {{Spec2("Fetch")}} | Definición Inicial. |
{{Compat("http.headers.Access-Control-Allow-Origin")}}