Access-Control-Allow-Credentials

Access-Control-Allow-Credentials レスポンスヘッダーは、リクエストに対するレスポンスをページに公開できるかどうかを示します。true の値が返されたときに公開されます。

証明書は Cookie、承認ヘッダー、または TLS クライアント証明書です。

プリフライトリクエストに対するレスポンスの一部として使用される場合、実際のリクエストが資格情報を使用して行われるかどうかを示します。単純な GET リクエストはプリフライトされていないので、資格情報を持つリソースに対してリクエストが行われた場合、このヘッダがリソースとともに返されない場合、レスポンスはブラウザによって無視されウェブコンテンツは返されません。

Access-Control-Allow-Credentials ヘッダーは、XMLHttpRequest.withCredentials プロパティまたはFetch API の Request() コンストラクタ内の credentials オプションです。資格情報を含むCORS要求が成功するためには、資格情報を両方の側 (Access-Control-Allow-Credentials ヘッダーと XHR または Fetch リクエスト) で設定する必要があります。

ヘッダータイプ Response header
Forbidden header name no

構文

Access-Control-Allow-Credentials: true

ディレクティブ

true
このヘッダーの唯一の有効な値は true です (大文字小文字を区別します)。資格情報を必要としない場合は、(値を false に設定するのではなく)このヘッダーを完全に省略します。

認証を許可する:

Access-Control-Allow-Credentials: true

資格情報で XHR を使用する:

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true); 
xhr.withCredentials = true; 
xhr.send(null);

資格情報での Fetch の使用:

fetch(url, {
  credentials: 'include'  
})

仕様

仕様 ステータス コメント
Fetch
Access-Control-Allow-Credentials の定義
現行の標準 初回定義

ブラウザの実装状況

機能ChromeEdgeFirefoxInternet ExplorerOperaSafari
基本対応4123.510124
機能Android webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
基本対応2.1 あり あり4123.2 あり

関連情報

ドキュメントのタグと貢献者

このページの貢献者: silverskyvicto
最終更新者: silverskyvicto,