MediaWiki:Apihelp-main-param-crossorigin

使用跨域AJAX请求(CORS)访问API时，如果使用的是可以抵御跨站点请求伪造(CSRF)攻击的会话提供程序（例如OAuth），则请使用此参数而非origin=*以保持请求处于已通过身份验证的状态（即不是已退出未登录的状态）。此参数必须包含在任何预检请求中，因此必须是请求URI（而不是POST正文）的一部分。

请注意，大多数会话提供程序（包括标准的基于cookie的会话）不支持经过身份验证的CORS，因此不能使用此参数。