Access-Control-Allow-Credentials

Access-Control-Allow-Credentials响应报头指示的请求的响应是否可以暴露于该页面。当true值返回时它可以被暴露。

凭证是 Cookie ,授权标头或 TLS 客户端证书。

当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET请求不是预检的,所以如果请求使用凭证的资源,如果此资源不与资源一起返回,浏览器将忽略该响应,并且不会返回到 Web 内容。

Access-Control-Allow-Credentials的 header 文件与该XMLHttpRequest.withCredentials属性或者在提取 API credentialsRequest()构造函数中的选项一起工作。必须在双方(Access-Control-Allow-Credentials的 header 和 XHR 或 Fetch 请求中)设置证书,以使 CORS 请求凭证成功。

Header type

Response header

Forbidden header name

no

语法

Access-Control-Allow-Credentials: true

指令

trueThe only valid value for this header is true (case-sensitive). If you don't need credentials, omit this header entirely (rather than setting its value to false).

例子

允许凭证:

Access-Control-Allow-Credentials: true

使用 XHR 凭证:

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true); 
xhr.withCredentials = true; 
xhr.send(null);

使用提取凭证:

fetch(url, {
  credentials: 'include'  
})

规范

Specification

Status

Comment

FetchThe definition of 'Access-Control-Allow-Credentials' in that specification.

Living Standard

Initial definition

浏览器兼容性

Feature

Chrome

Firefox

Edge

Internet Explorer

Opera

Safari

Basic Support

4

3.5

12

10

12

4

Feature

Android

Chrome for Android

Edge mobile

Firefox for Android

IE mobile

Opera Android

iOS Safari

Basic Support

2.1

(Yes)

(Yes)

1.0

(Yes)

12

3.2

扫码关注云+社区

领取腾讯云代金券