Cross-Origin Resource Sharing

Method of performing XMLHttpRequests across domains

Spec https://fetch.spec.whatwg.org/#http-cors-protocol
Status WHATWG Living Standard
IE Edge Firefox Chrome Safari Opera
      98    
    95 97    
    94 96 TP (3)  
11 95 93 95 15 (3) 80
10 (1) 94 92 94 14.1 (3) 79
9 (2) 93 91 93 14 (3) 78
8 (2) 92 90 92 13.1 (3) 77
Show all
7 91 89 91 13 (3) 76
6 90 88 90 12.1 (3) 75
5.5 89 87 89 12 (3) 74
  88 86 88 11.1 (3) 73
  87 85 87 11 (3) 72
  86 84 86 10.1 (3) 71
  85 83 85 10 (3) 70
  84 82 84 9.1 (3) 69
  83 81 83 9 (3) 68
  81 80 81 8 (3) 67
  80 79 80 7.1 (3) 66
  79 78 79 7 (3) 65
  18 77 78 6.1 (3) 64
  17 76 77 6 (3) 63
  16 75 76 5.1 (1,3) 62
  15 74 75 5 (1,3) 60
  14 73 74 4 (1,3) 58
  13 72 73 3.2 57
  12 71 72 3.1 56
    70 (4) 71   55
    69 (4) 70   54
    68 (4) 69   53
    67 (4) 68   52
    66 (4) 67   51
    65 (4) 66   50
    64 (4) 65   49
    63 (4) 64   48
    62 (4) 63   47
    61 (4) 62   46
    60 61   45
    59 60   44
    58 59   43
    57 58   42
    56 57   41
    55 56   40
    54 55   39
    53 54   38
    52 53   37
    51 52   36
    50 51   35
    49 50   34
    48 49   33
    47 48   32
    46 47   31
    45 46   30
    44 45   29
    43 44   28
    42 43   27
    41 42   26
    40 41   25
    39 40   24
    38 39   23
    37 38   22
    36 37   21
    35 36   20
    34 35   19
    33 34   18
    32 33   17
    31 32   16
    30 31   15
    29 30   12.1
    28 29   12
    27 28   11.6
    26 27   11.5
    25 26   11.1
    24 25   11
    23 24   10.6
    22 23   10.5
    21 22   10.0-10.1
    20 21   9.5-9.6
    19 20   9
    18 19    
    17 18    
    16 17    
    15 16    
    14 15    
    13 14    
    12 13    
    11 12 (1)    
    10 11 (1)    
    9 10 (1)    
    8 9 (1)    
    7 8 (1)    
    6 7 (1)    
    5 6 (1)    
    4 5 (1)    
    3.6 4 (1)    
    3.5      
    3      
    2      
Safari on iOS Opera Mini Android Browser Blackberry Browser Opera Mobile Android Chrome Android Firefox IE Mobile Android UC Browser Samsung Internet QQ Browser Baidu Browser KaiOS Browser
15 (3) all 94 10 64 94 92 11 12.12 15.0 10.4 7.12 2.5
14.5-14.8 (3)   4.4.3-4.4.4 7 (1) 12.1     10 (1)   14.0      
14.0-14.4 (3)   4.4   12         13.0      
13.4-13.7 (3)   4.2-4.3 (1)   11.5         12.0      
Show all
13.3 (3)   4.1 (1)   11.1         11.1-11.2      
13.2 (3)   4 (1)   11         10.1      
13.0-13.1 (3)   3 (1)   10         9.2      
12.2-12.5 (3)   2.3 (1)             8.2      
12.0-12.1 (3)   2.2 (1)             7.2-7.4      
11.3-11.4 (3)   2.1 (1)             6.2-6.4      
11.0-11.2 (3)                 5.0-5.4      
10.3 (3)                 4      
10.0-10.2 (3)                        
9.3 (3)                        
9.0-9.2 (3)                        
8.1-8.4 (3)                        
8 (3)                        
7.0-7.1 (3)                        
6.0-6.1 (3)                        
5.0-5.1 (1,3)                        
4.2-4.3 (1,3)                        
4.0-4.1 (1,3)                        
3.2 (1,3)                        

Notes

  1. Does not support CORS for images in <canvas>

  2. Supported somewhat in IE8 and IE9 using the XDomainRequest object (but has limitations)

  3. Does not support CORS for <video> in <canvas>: https://bugs.webkit.org/show_bug.cgi?id=135379

  4. Does not support CORS for resources which redirect: https://bugzilla.mozilla.org/show_bug.cgi?id=1346749

Bugs

  • IE10+ does not send cookies when withCredential=true (IE Bug #759587). A workaround is to use a P3P policy

  • IE10+ does not make a CORS request if port is the only difference (IE Bug #781303)

  • Android and some old versions of WebKit (that may be found in various webview implementations) do not support Access-Control-Expose-Headers: https://code.google.com/p/android/issues/detail?id=56726

  • IE11 does not appear to support CORS for images in the canvas element

Resources

Data by caniuse.com
Licensed under the Creative Commons Attribution License v4.0.
https://caniuse.com/cors