Si necesitas habilitar el CORS en tu web ó Cross-Origin Resource Sharing (Cross-Domain AJAX request), deberás añadir las siguientes líneas a tu archivo .htaccess (al principio del todo):
Access-Control-Allow-Origin: https://tudominio.com/ Header set X-XSS-Protection "1; mode=block" Header always set X-Frame-Options "SAMEORIGIN" Header set Content-Security-Policy "frame-ancestors 'self'"
Debes cambiar "tudominio.com" por tu dominio real
Si tu dominio incluye las www, debes incluirlas también en la dirección.
En el caso de que quieras habilitar cualquier dominio, deberás añadir las siguientes líneas entonces:
Access-Control-Allow-Origin: * Header set X-XSS-Protection "1; mode=block" Header always set X-Frame-Options "SAMEORIGIN" Header set Content-Security-Policy "frame-ancestors 'self'"
NOTA: Utilizar el comodín para permitir que todos los sitios accedan a tu API privada no es recomendable.