En accédant à l’API en utilisant une requête AJAX inter-domaines (CORS), mettre le domaine d’origine dans ce paramètre. Il doit être inclus dans toute requête de pre-flight, et doit donc faire partie de l’URI de la requête (pas du corps du POST).
Pour les requêtes authentifiées, il doit correspondre exactement à une des origines dans l’entête Origin
header, donc il doit être fixé avec quelque chose comme https://en.wikipedia.org ou https://meta.wikimedia.org. Si ce paramètre ne correspond pas à l’entête Origin
, une réponse 403 sera renvoyée. Si ce paramètre correspond à l’entête Origin
et que l’origine est en liste blanche, des entêtes Access-Control-Allow-Origin
et Access-Control-Allow-Credentials
seront positionnés.
Pour les requêtes non authentifiées, spécifiez la valeur *. Cela positionnera l’entête Access-Control-Allow-Origin
, mais Access-Control-Allow-Credentials
vaudra false
et toutes les données spécifiques à l’utilisateur seront filtrées.