©
本文档使用
php中文网手册 发布
Access-Control-Allow-Credentials响应报头指示的请求的响应是否可以暴露于该页面。当true值返回时它可以被暴露。
凭证是 Cookie ,授权标头或 TLS 客户端证书。
当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET请求不是预检的,所以如果请求使用凭证的资源,如果此资源不与资源一起返回,浏览器将忽略该响应,并且不会返回到 Web 内容。
Access-Control-Allow-Credentials的 header 文件与该XMLHttpRequest.withCredentials属性或者在提取 API credentials的Request()构造函数中的选项一起工作。必须在双方(Access-Control-Allow-Credentials的 header 和 XHR 或 Fetch 请求中)设置证书,以使 CORS 请求凭证成功。
Header type | Response header |
|---|---|
Forbidden header name | no |
Access-Control-Allow-Credentials: true
trueThe only valid value for this header is true (case-sensitive). If you don't need credentials, omit this header entirely (rather than setting its value to false).
允许凭证:
Access-Control-Allow-Credentials: true
使用 XHR 凭证:
var xhr = new XMLHttpRequest();xhr.open('GET', 'http://example.com/', true); xhr.withCredentials = true; xhr.send(null);使用提取凭证:
fetch(url, {
credentials: 'include' })Specification | Status | Comment |
|---|---|---|
FetchThe definition of 'Access-Control-Allow-Credentials' in that specification. | Living Standard | Initial definition |
Feature | Chrome | Firefox | Edge | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
Basic Support | 4 | 3.5 | 12 | 10 | 12 | 4 |
Feature | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
|---|---|---|---|---|---|---|---|
Basic Support | 2.1 | (Yes) | (Yes) | 1.0 | (Yes) | 12 | 3.2 |