API Тарифы EN Войти

Анализ сайта

HTTP заголовки Расширенный Health Score PageSpeed Безопасность Цепочки редиректов Битые ссылки HTTP/2 & HTTP/3

Домен и DNS

DNS DNS Propagation WHOIS SSL Определитель CMS

Сеть

Ping Traceroute IP ASN Lookup IP/CIDR Калькулятор

Безопасность

Спам-листы Проверка РКН Проверка IP (AbuseIPDB) DKIM Генератор Email доставляемость Mixed Content SEO-аудит Schema-разметка Сравнение сайтов

SEO и AI

Robots.txt AI Readiness llms.txt Ключевые слова

Утилиты

Форматтер Cron Tester JWT Decoder TTL Calculator Массовая Heartbeat Страницы статуса

Информация

API документация Статьи Тарифы Справка Контакты

EN Войти Регистрация

Главная / HTTP-заголовки / Access-Control-Allow-Origin

← Все HTTP-заголовки

CORS

Access-Control-Allow-Origin

Определяет, какие домены могут читать ответ — основной заголовок CORS.

Синтаксис

Access-Control-Allow-Origin: * | &lt;источник&gt;

Пример

Access-Control-Allow-Origin: https://example.com

Описание

Access-Control-Allow-Origin — самый важный заголовок CORS. Сообщает браузеру, какие домены могут получить доступ к ответу.

Значение: конкретный источник (например, https://example.com) или *. * нельзя использовать с credentials.

Для безопасности избегайте * на чувствительных эндпоинтах. Проверяйте Origin по белому списку. Добавляйте Vary: Origin.

Проверьте, правильно ли ваш сайт отправляет этот заголовок

Проверить заголовки →

Связанные статьи

HTTP-методы: GET, POST, PUT, DELETE и другие

Полное руководство по HTTP-методам — GET, POST, PUT, PATCH, DELETE, HEAD, OPTIONS. Семантика, применение и лучшие практики для REST API.

CORS: руководство по Cross-Origin Resource Sharing

Как работает CORS — кросс-доменные запросы, preflight-проверки, заголовки, типичные ошибки и правильная настройка для вашего веб-приложения.

HTTP кэширование: Cache-Control, ETag, Expires

Подробное руководство по HTTP кэшированию: заголовки Cache-Control, ETag, Expires, Last-Modified. Как настроить кэширование для ускорения сайта.

Связанные заголовки

Access-Control-Allow-Credentials

Указывает, может ли ответ на кросс-origin запрос с учётными данными быть доступен JavaScript.

Access-Control-Allow-Headers

Указывает разрешённые HTTP-заголовки в кросс-доменном запросе после preflight.

Access-Control-Allow-Methods

Указывает разрешённые HTTP-методы при кросс-доменном доступе в ответе preflight.

Access-Control-Max-Age

Указывает, как долго результаты CORS preflight-запроса могут кешироваться.

Начните мониторинг бесплатно

Зарегистрируйтесь и получите доступ к API, мониторингу и уведомлениям

Создать аккаунт Документация API

⚡

enterno.io

Инструменты мониторинга и анализа сайтов

Анализ сайта HTTP заголовки Расширенный Health Score PageSpeed Безопасность Цепочки редиректов Битые ссылки HTTP/2 & HTTP/3

Домен и DNS & Сеть DNS Lookup DNS Propagation WHOIS SSL проверка Определитель CMS Ping & порты Traceroute IP геолокация ASN Lookup IP/CIDR Калькулятор

Безопасность Спам-листы Проверка РКН Проверка IP (AbuseIPDB) DKIM Генератор Email доставляемость Mixed Content

SEO и AI & Утилиты Robots.txt AI Readiness llms.txt Ключевые слова SEO-аудит Schema-разметка Сравнение сайтов Форматтер Cron Tester JWT Decoder TTL Calculator Массовая проверка

Сервис API документация Тарифы Справка Сравнения Статьи HTTP-заголовки справочник HTTP-коды состояния Контакты Конфиденциальность Оферта Heartbeat Страницы статуса

PHP 8.4 · Хостинг: Россия