HTTP头部信息 | Access-Control-Allow-Credentials

HTTP响应头中的Access-Control-Allow-Credentials字段，用于指示浏览器在请求的身份验证模式为“凭证允许”时，将响应内容暴露给前端JavaScript代码。请求.credentials is “包括”请记住一点：当……的时候。请求.credentials is “包括”如果模式浏览器能够将响应结果暴露给前端JavaScript代码，那么就可以实现这一点了。Access-Control-Allow-Credentials：允许携带哪些凭据。已经设定好了真的/正确的“Access-Control-Allow-Credentials”头部字段的作用就是用来指定是否允许携带认证凭证的。XMLHttpRequest.withCredentials可以选择“财产”选项，或者使用其中的凭证选项。请求/调用Fetch API的构造函数。注意：实际上，凭证可以是 Cookie、授权头，或者 TLS（传输层安全）客户端证书。语法：

Access-Control-Allow-Credentials: true

指示/指导：此头部可以接受上述以及下面所描述的单一指令。

• 真实/正确：这是“Access-Control-Allow-Credentials”头部唯一有意义的、或可以说有效的取值。如果不需要使用这些凭证，那么就不要设置这个头部。请不要设置“Access-Control-Allow-Credentials: false”。该指令对大小写敏感，即大小写不同会导致不同的结果。

例如：

• 这允许设置Access-Control-Allow-Credentials字段的值。

  Access-Control-Allow-Credentials: true

• 这里使用的是带有凭据的 xhr 技术。

  var xhr = new XMLHttpRequest();
  xhr.open('GET', 'https://www.spoto.net/', true); 
  xhr.withCredentials = true; 
  xhr.send(null);

• 这里使用的是带有凭据的 Fetch 工具。

  fetch(url, {
    credentials: 'include'  
  })

要查看“Access-Control-Allow-Credentials”的实际作用，请访问……检查元素 -> 网络请检查响应头中的“Access-Control-Allow-Credentials”字段。如上图所示，该字段被高亮显示出来，方便您查看。支持的浏览器：与以下浏览器兼容：HTTP Access-Control-Allow-Credentials以下是各个标题的列表：

• 谷歌浏览器
• Internet Explorer
• Firefox
• Safari
• 歌剧