MediaWiki:Apihelp-main-param-crossorigin

При доступі до API за допомогою міждоменного запиту AJAX (CORS) та використання провайдера сеансів, захищеного від атак міжсайтового підроблення запитів (CSRF) (наприклад, OAuth), використовуйте це замість origin=*, щоб зробити запит автентифікованим (тобто не вийти з системи). Це повинно бути включено в будь-який попередній запит, а тому повинно бути частиною URI запиту (а не тіла POST).

Зверніть увагу, що більшість постачальників сеансів, включаючи стандартні сеанси на основі файлів cookie, не підтримують автентифікований CORS і не можуть використовуватися з цим параметром.