Access-Control-Allow-Credentials レスポンスヘッダーは、リクエストに対するレスポンスをページに公開できるかどうかを示します。true の値が返されたときに公開されます。
証明書は Cookie、承認ヘッダー、または TLS クライアント証明書です。
プリフライトリクエストに対するレスポンスの一部として使用される場合、実際のリクエストが資格情報を使用して行われるかどうかを示します。単純な GET リクエストはプリフライトされていないので、資格情報を持つリソースに対してリクエストが行われた場合、このヘッダがリソースとともに返されない場合、レスポンスはブラウザによって無視されウェブコンテンツは返されません。
Access-Control-Allow-Credentials ヘッダーは、XMLHttpRequest.withCredentials プロパティまたはFetch API の Request() コンストラクタ内の credentials オプションです。資格情報を含むCORS要求が成功するためには、資格情報を両方の側 (Access-Control-Allow-Credentials ヘッダーと XHR または Fetch リクエスト) で設定する必要があります。
| ヘッダータイプ | Response header |
|---|---|
| Forbidden header name | no |
構文
Access-Control-Allow-Credentials: true
ディレクティブ
- true
- このヘッダーの唯一の有効な値は
trueです (大文字小文字を区別します)。資格情報を必要としない場合は、(値を false に設定するのではなく)このヘッダーを完全に省略します。
例
認証を許可する:
Access-Control-Allow-Credentials: true
資格情報で XHR を使用する:
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://example.com/', true);
xhr.withCredentials = true;
xhr.send(null);
資格情報での Fetch の使用:
fetch(url, {
credentials: 'include'
})
仕様
| 仕様 | ステータス | コメント |
|---|---|---|
| Fetch Access-Control-Allow-Credentials の定義 |
現行の標準 | 初回定義 |
ブラウザの実装状況
このページの互換表は構造化データから生成されます。データに貢献したい場合は https://github.com/mdn/browser-compat-data をチェックし、プルリクエストを送信してください。
Update compatibility data on GitHub
| デスクトップ | モバイル | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
Access-Control-Allow-Credentials | Chrome 完全対応 4 | Edge 完全対応 12 | Firefox 完全対応 3.5 | IE 完全対応 10 | Opera 完全対応 12 | Safari 完全対応 4 | WebView Android 完全対応 2 | Chrome Android 完全対応 あり | Firefox Android 完全対応 4 | Opera Android 完全対応 12 | Safari iOS 完全対応 3.2 | Samsung Internet Android 完全対応 あり |
凡例
- 完全対応
- 完全対応