---
title: Access-Control-Allow-Origin
slug: Web/HTTP/Headers/Access-Control-Allow-Origin
translation_of: Web/HTTP/Headers/Access-Control-Allow-Origin
---
<div><code><strong>Access-Control-Allow-Origin</strong></code> 响应头指定了该响应的资源是否被允许与给定的{{glossary("origin")}}共享。</div>

<div> </div>

<table class="properties">
 <tbody>
  <tr>
   <th scope="row">Header type</th>
   <td>{{Glossary("Response header")}}</td>
  </tr>
  <tr>
   <th scope="row">{{Glossary("Forbidden header name")}}</th>
   <td>no</td>
  </tr>
 </tbody>
</table>

<h2 id="语法">语法</h2>

<pre class="syntaxbox">Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: &lt;origin&gt;
</pre>

<h2 id="指令">指令</h2>

<dl>
 <dt>*</dt>
 <dd>对于不需具备凭证（credentials）的请求，服务器会以“<code>*</code>”作为通配符，从而允许所有域都具有访问资源的权限。</dd>
 <dt>&lt;origin&gt;</dt>
 <dd>指定一个可以访问资源的URI。</dd>
</dl>

<h2 id="示例">示例</h2>

<p>如需允许所有资源都可以访问<code>您</code>的资源，您可以如此设置：</p>

<pre>Access-Control-Allow-Origin: *</pre>

<p>如需允许<code>https://developer.mozilla.org</code>访问您的资源，您可以设置：</p>

<pre>Access-Control-Allow-Origin: https://developer.mozilla.org</pre>

<h3 id="CORS和缓存">CORS和缓存</h3>

<p>如果服务器未使用“<code>*</code>”，而是指定了一个域，那么为了向客户端表明服务器的返回会根据<code>Origin</code>请求头而有所不同，必须在{{HTTPHeader("Vary")}}响应头中包含<code>Origin</code>。</p>

<pre>Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin</pre>

<h2 id="规范">规范</h2>

<table class="standard-table">
 <tbody>
  <tr>
   <th scope="col">规范</th>
   <th scope="col">状态</th>
   <th scope="col">注释</th>
  </tr>
  <tr>
   <td>{{SpecName('Fetch','#http-access-control-allow-origin', 'Access-Control-Allow-Origin')}}</td>
   <td>{{Spec2("Fetch")}}</td>
   <td>初始定义</td>
  </tr>
 </tbody>
</table>

<h2 id="浏览器兼容性">浏览器兼容性</h2>

<p>{{Compat("http/headers/access-control-allow-origin")}}</p>

<h2 id="参见">参见</h2>

<ul>
 <li>{{HTTPHeader("Origin")}}</li>
 <li>{{HTTPHeader("Vary")}}</li>
</ul>