MediaWiki:Apihelp-main-param-crossorigin

При доступе к API с помощью кросс-доменного AJAX-запроса (CORS) и использовании поставщика сеансов, защищённого от атак с подделкой межсайтовых запросов (CSRF) (например, OAuth), используйте этот параметр вместо origin=* , чтобы запрос был аутентифицирован (т.е. не выходил из системы). Этот параметр должен быть включён в любой предварительный запрос и, следовательно, должен быть частью URI запроса (а не тела POST).

Обратите внимание, что большинство поставщиков сеансов, включая стандартные сеансы на основе cookie, не поддерживают аутентифицированный CORS и не могут использоваться с этим параметром.