Manuel:$wgCrossSiteAJAXdomains

Permet que les requêtes Ajax de certains domaines puissent faire des requêtes inter-site à l'API d'un wiki (voir Manual:CORS pour un exemple d'utilisation). Ceci utilise l'entête HTTP Access-Control-Allow-Origin. Notez que certains anciens navigateurs ne prennent pas en charge cela. Cela ne concerne que les requêtes à l'API. Les autres points d'accès (index.php) ne sont pas impactés.

La valeur doit être une liste de noms de domaines autorisés, pouvant inclure les caractères jokers du shell (? représente tout caractère, * représente toute occurrence de caractères y compris zéro pour aucune). Un tableau vide signifie qu'aucun accès externe n'est autorisé.

Quelques exemples :

Permettez que tout domaine puisse accéder à l'API via Ajax (ceci n'est pas sécurisé) :

$wgCrossSiteAJAXdomains = [
    '*'
];

Autorise deux domaines spécifiques :

$wgCrossSiteAJAXdomains = [
    'en.wikipedia.org',
    'en.wikibooks.org'
];

Permet tous les sous-domaines d'un domaine donné (y compris les sous-domaines profond tels que en.m.wikipedia.org) :

$wgCrossSiteAJAXdomains = [
    '*.wikipedia.org'
];

Voir gerrit:9624 pour un exemple d'utilisation.

Avertissement :

Tout site listé dans ces paramètres de configuration peut entreprendre des actions au nom de vos utilisateurs connectés quand ils visitent ce site. N'incluez dans cette variable que des sites dans lesquels vous avez confiance

Jusqu'à MediaWiki 1.34, on pouvait trouver des journaux Non-whitelisted CORS request with session cookies qui référençaient le wiki lui-même, ce qui a pu être corrigé en ajoutant le nom du serveur du wiki dans ce paramètre pour éviter ces journaux. Cela a été corrigé dans MediaWiki 1.35 dans T243908.

• Manuel:CORS
• $wgCrossSiteAJAXdomainExceptions
• $wgAllowedCorsHeaders
• $wgRestAllowCrossOriginCookieAuth