MediaWiki:Apihelp-main-param-crossorigin

Lorsque vous accédez à l'API à l'aide d'une requête AJAX inter-domaines (CORS) et que vous utilisez un fournisseur de session protégé contre les attaques CSRF (cross-site request forgery) (comme OAuth), utilisez ceci à la place de origin=* pour authentifier la requête (c'est-à-dire, sans déconnexion). Cela doit être inclus dans toute requête préalable et doit donc faire partie de l'URI de la requête (et non du corps POST).

Notez que la plupart des fournisseurs de session, y compris les sessions standard basées sur les cookies, ne prennent pas en charge CORS authentifié et ne peuvent pas être utilisés avec ce paramètre.