Access-Control-Allow-Credentials

Access-Control-Allow-Credentials 响应头告诉浏览器服务器是否允许跨源 HTTP 请求包含凭据。

凭据包括 Cookie、TLS 客户端证书或包含用户名和密码的身份验证头。默认情况下,这些凭据不会在跨源请求中发送,这样做可能会使站点容易受到 CSRF 攻击。

客户端可以通过几种方式请求在跨站点请求中包含凭据

如果客户端已请求包含凭据

  • 如果请求是 预检请求,则预检请求不包含凭据。如果服务器对预检请求的响应将 Access-Control-Allow-Credentials 标头设置为 true,则实际请求将包含凭据:否则,浏览器会报告网络错误。
  • 如果请求不是预检请求,则请求将包含凭据,如果服务器的响应未将 Access-Control-Allow-Credentials 标头设置为 true,则浏览器会报告网络错误。
头类型 响应头
禁止的头名称

语法

http
Access-Control-Allow-Credentials: true

指令

true

此标头的唯一有效值为 true(区分大小写)。如果您不需要凭据,请完全省略此标头(而不是将其值设置为 false)。

示例

允许凭据

http
Access-Control-Allow-Credentials: true

使用带有凭据的 fetch()

js
fetch(url, {
  credentials: "include",
});

使用带有凭据的 XMLHttpRequest

js
const xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/", true);
xhr.withCredentials = true;
xhr.send(null);

规范

规范
获取标准
# http-access-control-allow-credentials

浏览器兼容性

BCD 表格仅在浏览器中加载

另请参阅