Access-Control-Allow-Credentials

Access-Control-Allow-Credentials レスポンスヘッダーは、リクエストに対するレスポンスをページに公開できるかどうかを示します。true の値が返されたときに公開されます。

証明書は Cookie、承認ヘッダー、または TLS クライアント証明書です。

プリフライトリクエストに対するレスポンスの一部として使用される場合、実際のリクエストが資格情報を使用して行われるかどうかを示します。単純な GET リクエストはプリフライトされていないので、資格情報を持つリソースに対してリクエストが行われた場合、このヘッダがリソースとともに返されない場合、レスポンスはブラウザによって無視されウェブコンテンツは返されません。

Access-Control-Allow-Credentials ヘッダーは、XMLHttpRequest.withCredentials プロパティまたはFetch API の Request() コンストラクタ内の credentials オプションです。資格情報を含むCORS要求が成功するためには、資格情報を両方の側 (Access-Control-Allow-Credentials ヘッダーと XHR または Fetch リクエスト) で設定する必要があります。

ヘッダータイプ Response header
Forbidden header name no

構文

Access-Control-Allow-Credentials: true

ディレクティブ

true
このヘッダーの唯一の有効な値は true です (大文字小文字を区別します)。資格情報を必要としない場合は、(値を false に設定するのではなく)このヘッダーを完全に省略します。

認証を許可する:

Access-Control-Allow-Credentials: true

資格情報で XHR を使用する:

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true); 
xhr.withCredentials = true; 
xhr.send(null);

資格情報での Fetch の使用:

fetch(url, {
  credentials: 'include'  
})

仕様

仕様 ステータス コメント
Fetch
Access-Control-Allow-Credentials の定義
現行の標準 初回定義

ブラウザの実装状況

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeEdge MobileAndroid 版 FirefoxAndroid 版 OperaiOS 版 SafariSamsung Internet
基本対応Chrome 完全対応 4Edge 完全対応 12Firefox 完全対応 3.5IE 完全対応 10Opera 完全対応 12Safari 完全対応 4WebView Android 完全対応 2Chrome Android 完全対応 ありEdge Mobile 完全対応 ありFirefox Android 完全対応 4Opera Android 完全対応 12Safari iOS 完全対応 3.2Samsung Internet Android 完全対応 あり

凡例

完全対応  
完全対応

関連情報

ドキュメントのタグと貢献者

このページの貢献者: silverskyvicto
最終更新者: silverskyvicto,