los Access-Control-Allow-Credentials El encabezado de respuesta le dice a los navegadores si deben exponer la respuesta al código JavaScript frontend cuando el modo de credenciales de la solicitud (Request.credentials) es include.

Cuando el modo de credenciales de una solicitud (Request.credentials) es include, los navegadores solo expondrán la respuesta al código JavaScript frontend si el Access-Control-Allow-Credentials el valor es true.

Las credenciales son cookies, encabezados de autorización o certificados de cliente TLS.

Cuando se usa como parte de una respuesta a una solicitud de verificación previa, indica si la solicitud real se puede realizar con credenciales. Tenga en cuenta que simple GET las solicitudes no se revisan previamente, por lo que si se realiza una solicitud para un recurso con credenciales, si este encabezado no se devuelve con el recurso, el navegador ignora la respuesta y no se devuelve al contenido web.

los Access-Control-Allow-Credentials El encabezado funciona junto con el XMLHttpRequest.withCredentials propiedad o con la credentials opción en el Request() constructor de la API Fetch. Para una solicitud CORS con credenciales, para que los navegadores expongan la respuesta al código JavaScript del frontend, tanto el servidor (que usa el Access-Control-Allow-Credentials header) y el cliente (al configurar el modo de credenciales para la solicitud XHR, Fetch o Ajax) debe indicar que está optando por incluir las credenciales.

Tipo de encabezado Encabezado de respuesta
Nombre de encabezado prohibido no

Sintaxis

Access-Control-Allow-Credentials: true

Directivas

true
El único valor válido para este encabezado es true (distingue mayúsculas y minúsculas). Si no necesita credenciales, omita este encabezado por completo (en lugar de establecer su valor en false).

Ejemplos de

Permitir credenciales:

Access-Control-Allow-Credentials: true

Utilizando XHR con credenciales:

var xhr =newXMLHttpRequest();
xhr.open('GET','http://example.com/',true); 
xhr.withCredentials =true; 
xhr.send(null);

Utilizando Ir a buscar con credenciales:

fetch(url,
  credentials:'include')

Especificaciones

Especificación Estado Comentario
Ir a buscar
La definición de ‘Access-Control-Allow-Credentials’ en esa especificación.
Estándar de vida Definición inicial

Compatibilidad del navegadorActualizar datos de compatibilidad en GitHub

Escritorio
Cromo Borde Firefox explorador de Internet Ópera Safari
Access-Control-Allow-Credentials 4 12 3,5 10 12 4
Móvil
Vista web de Android Chrome para Android Firefox para Android Opera para Android Safari en iOS Internet de Samsung
Access-Control-Allow-Credentials 2 4 12 3.2

Ver también

© 2005–2020 Mozilla y colaboradores individuales.
Con licencia de Creative Commons Attribution-ShareAlike License v2.5 o posterior.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials