Como habilitar el header Access-Control-Allow-Origin

Si necesitas habilitar el CORS en tu web ó Cross-Origin Resource Sharing (Cross-Domain AJAX request), deberás añadir las siguientes líneas a tu archivo .htaccess (al principio del todo):


<IfModule mod_headers.c>
Access-Control-Allow-Origin: https://tudominio.com/
Header set X-XSS-Protection "1; mode=block"
Header always set X-Frame-Options "SAMEORIGIN"
Header set Content-Security-Policy "frame-ancestors 'self'"
</IfModule>


Debes cambiar "tudominio.com" por tu dominio real


Si tu dominio incluye las www, debes incluirlas también en la dirección.


En el caso de que quieras habilitar cualquier dominio, deberás añadir las siguientes líneas entonces:


<IfModule mod_headers.c>
Access-Control-Allow-Origin: *
Header set X-XSS-Protection "1; mode=block"
Header always set X-Frame-Options "SAMEORIGIN"
Header set Content-Security-Policy "frame-ancestors 'self'"
</IfModule>


NOTA: Utilizar el comodín para permitir que todos los sitios accedan a tu API privada no es recomendable.