XMLHttpRequest.withCredentials

La propriété XMLHttpRequest.withCredentials est un booléen qui indique si une requête Access-Control entre plusieurs sites devrait être réalisée avec des informations d'authentification (credentials) telles que des cookies, des en-têtes d'autorisation ou des certificats clients. Activer withCredentials n'aura aucun impact sur les requêtes effectuées sur un même site.

Cette propriété est également utilisée afin d'indiquer lorsque les cookies doivent être ignorés pour une réponse. Par défaut, la valeur est à false. Une requête XMLHttpRequest d'un autre domaine ne pourra pas définir de cookies pour cet autre domaine à moins que withCredentials vaille true avant la requête.

Les cookies tiers obtenus lorsque withCredentials vaut true continuent de respecter la règle de même origine et ne peuvent donc pas être manipulés en script via document.cookie ou depuis les en-têtes de la réponse.

Note : Cette propriété n'a aucun impact pour les requêtes effectuées sur le même site.

Note : Les réponses XMLHttpRequest provenant d'un domaine différent ne peuvent pas définir de cookies pour ce domaine à moins d'avoir withCredentials à true avant l'envoi de la requête (quelle que soit la valeur de l'en-tête Access-Control-).

Exemples

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true);
xhr.withCredentials = true;
xhr.send(null);

Spécifications

Spécification État Commentaires
XMLHttpRequest Standard évolutif  

Compatibilité des navigateurs

Update compatibility data on GitHub
OrdinateurMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariWebview AndroidChrome pour AndroidFirefox pour AndroidOpera pour AndroidSafari sur iOSSamsung Internet
withCredentialsChrome Support complet OuiEdge Support complet 12Firefox Support complet 3.5
Notes
Support complet 3.5
Notes
Notes Starting with Firefox 11, it's no longer supported to use the withCredentials attribute when performing synchronous requests. Attempting to do so throws an NS_ERROR_DOM_INVALID_ACCESS_ERR exception.
IE Support complet 10
Notes
Support complet 10
Notes
Notes Internet Explorer versions 8 and 9 supported cross-domain requests (CORS) using XDomainRequest.
Opera Support complet 12Safari Support complet 4WebView Android Support complet OuiChrome Android Support complet OuiFirefox Android Support complet 4
Notes
Support complet 4
Notes
Notes Starting with Firefox 11, it's no longer supported to use the withCredentials attribute when performing synchronous requests. Attempting to do so throws an NS_ERROR_DOM_INVALID_ACCESS_ERR exception.
Opera Android Support complet OuiSafari iOS Support complet OuiSamsung Internet Android Support complet Oui

Légende

Support complet  
Support complet
Voir les notes d'implémentation.
Voir les notes d'implémentation.