对CORS请求的响应必须包含Access-Control-Allow-Origin标头,该标头指示允许使用CORS资源的来源。该标头可以采用以下三个值之一:
起源。这样做仅允许来自该来源的请求。
人物*。这允许来自任何来源的请求。
字符串null。这不允许任何CORS请求。
例如,在接收到来自origin的CORS请求时http://example.com(如果example.com它是授权的origin),服务器将发回以下响应:
HTTP/1.1 200 OK Access-Control-Allow-Origin: example.com
任何起源的响应也将允许此请求,即:
HTTP/1.1 200 OK Access-Control-Allow-Origin: *