Beim Zugriff auf die API mittels Cross-Domain-AJAX-Anfrage (CORS) ist dieser Parameter auf die veranlassende Domain zu setzen. Er muss in jedem Pre-Flight-Request angegeben werden und deshalb ein Teil der Anfrage-URI sein (nicht des POST-Bodys). Er muss genau einer der Angaben im Origin
-Header entsprechen, d. h. er muss auf etwas wie https://de.wikipedia.org oder https://meta.wikimedia.org gesetzt werden. Falls dieser Parameter nicht mit dem Origin
-Header übereinstimmt, wird eine 403-Antwort zurückgegeben. Falls dieser Parameter dem Origin
-Header entspricht und die Domain auf der Whitelist ist, wird ein Access-Control-Allow-Origin
-Header gesetzt.
Aus RN-Wissen.de