En accédant à l’API en utilisant une requête AJAX inter-domaines (CORS), mettre le domaine d’origine dans ce paramètre. Il doit être inclus dans toute requête de pre-flight, et doit donc faire partie de l’URI de la requête (pas du corps du POST).

Pour les requêtes authentifiées, il doit correspondre exactement à une des origines dans l’entête Origin header, donc il doit être fixé avec quelque chose comme https://en.wikipedia.org ou https://meta.wikimedia.org. Si ce paramètre ne correspond pas à l’entête Origin, une réponse 403 sera renvoyée. Si ce paramètre correspond à l’entête Origin et que l’origine est en liste blanche, des entêtes Access-Control-Allow-Origin et Access-Control-Allow-Credentials seront positionnés.

Pour les requêtes non authentifiées, spécifiez la valeur *. Cela positionnera l’entête Access-Control-Allow-Origin, mais Access-Control-Allow-Credentials vaudra false et toutes les données spécifiques à l’utilisateur seront filtrées.