使用跨域AJAX請求(CORS)訪問API時,如果使用的是可以抵禦跨站點請求偽造(CSRF)攻擊的會話提供程序(例如OAuth),則請使用此參數而非origin=*以保持請求處於已通過身份驗證的狀態(即不是已退出未登錄的狀態)。此參數必須包含在任何預檢請求中,因此必須是請求URI(而不是POST正文)的一部分。
origin=*
請注意,大多數會話提供程序(包括標準的基於cookie的會話)不支持經過身份驗證的CORS,因此不能使用此參數。