Access-Control-Allow-Credentials

El encabezado de respuesta Access-Control-Allow-Credentials le dice al navegador si exponer la respuesta al c贸digo JavaScript (del frontend) cuando el modo credenciales en la petici贸n es inclu铆do.

Cuando las credenciales de una petici贸n (Request.credentials (en-US)) es include, los navegadores s贸lo expondran la respuesta al c贸digo JavaScript del frontend si el valor de Access-Control-Allow-Credentials es true.

Las credenciales son cookies, encabezados de autorizaci贸n o cert铆ficados de cliente TLS.

Cuando se usa como parte de una respueste a una petici贸n previa, indica si la petici贸n real puede ser hecha utilizando credenciales. Note que peticiones GET sencillas no tienen una solicitud previa, y por lo tanto, una petici贸n es hecha por un recurso con credenciales, si el encabezado no regresa con el recurso, la respuesta es ignorada por el navegador y no es devuelto como contenido web.

El encabezado Access-Control-Allow-Credentials trabaja en conjunci贸n con la propiedad XMLHttpRequest.withCredentials (en-US) o con la opci贸n credentials en el constructor Request() (en-US)  de la API Fetch. Para una petici贸n CORS con credenciales, para que el navegador exponga la respuesta al c贸digo JavaScript del fronend, tanto el servidor (utilizando el encabezado Access-Control-Allow-Credentials) y el cliente (al configurar el modo de las credenciales para peticiones XHR, Fetch, o Ajax) se debe indicar que estan permitiendo la inclusi贸n de credenciales.

Tipo de encabezado Respuesta del encabezado
Nombre prohibido del encabezado no

Sintaxis

Access-Control-Allow-Credentials: true

Directivas

true
El 煤nico valor v谩lido para este encabezado es true (en min煤sculas). Si no se necesitan credenciales, se debe omitir este encabezado (en lugar de colocar su valor como false).

Ejemplos

Permitir credenciales:

Access-Control-Allow-Credentials: true

Utilizando XHR con credenciales:

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true);
xhr.withCredentials = true;
xhr.send(null);

Utilizando Fetch con credenciales:

fetch(url, {
  credentials: 'include'
})

Especificaciones

Especifiaci贸n Estado Comentario
Fetch
La definici贸n de 'Access-Control-Allow-Credentials' en esta especificaci贸n.
Living Standard Definici贸n inicial

Compatibilidad del navegador

BCD tables only load in the browser

Ver tambi茅n