HTTP参考手册
标题 | Headers
Access-Control-Allow-Credentials
Access-Control-Allow-Credentials
响应报头指示的请求的响应是否可以暴露于该页面。当true
值返回时它可以被暴露。
凭证是 Cookie ,授权标头或 TLS 客户端证书。
当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET
请求不是预检的,所以如果请求使用凭证的资源,如果此资源不与资源一起返回,浏览器将忽略该响应,并且不会返回到 Web 内容。
Access-Control-Allow-Credentials
的 header 文件与该XMLHttpRequest.withCredentials
属性或者在提取 API credentials
的Request()
构造函数中的选项一起工作。必须在双方(Access-Control-Allow-Credentials
的 header 和 XHR 或 Fetch 请求中)设置证书,以使 CORS 请求凭证成功。
Header type |
Response header |
---|---|
Forbidden header name |
no |
语法
Access-Control-Allow-Credentials: true
指令
trueThe only valid value for this header is true
(case-sensitive). If you don't need credentials, omit this header entirely (rather than setting its value to false
).
例子
允许凭证:
Access-Control-Allow-Credentials: true
使用 XHR 凭证:
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true);
xhr.withCredentials = true;
xhr.send(null);
使用提取凭证:
fetch(url, {
credentials: 'include'
})
规范
Specification |
Status |
Comment |
---|---|---|
FetchThe definition of 'Access-Control-Allow-Credentials' in that specification. |
Living Standard |
Initial definition |
浏览器兼容性
Feature |
Chrome |
Firefox |
Edge |
Internet Explorer |
Opera |
Safari |
---|---|---|---|---|---|---|
Basic Support |
4 |
3.5 |
12 |
10 |
12 |
4 |
Feature |
Android |
Chrome for Android |
Edge mobile |
Firefox for Android |
IE mobile |
Opera Android |
iOS Safari |
---|---|---|---|---|---|---|---|
Basic Support |
2.1 |
(Yes) |
(Yes) |
1.0 |
(Yes) |
12 |
3.2 |