XMLHttpRequest.withCredentials
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Свойство XMLHttpRequest.withCredentials это Boolean
который определяет, должны ли создаваться кросс-доменные Access-Control
запросы с использованием таких идентификационных данных как cookie, авторизационные заголовки или TLS сертификаты. Настройка withCredentials
бесполезна при запросах на тот же домен.
Вдобавок, этот флаг также используется для определения, будут ли проигнорированы куки переданные в ответе. Значение по умолчанию - false
. XMLHttpRequest с другого домена не может установить cookie на свой собственный домен в случае, если перед созданием этого запроса флаг withCredentials
не установлен в true
. Сторонние cookies, полученные с помощью установки withCredentials
в true, всё равно будут соблюдать политику одинакового домена и, следовательно, не могут быть получены запрашивающим скриптом через document.cookie или из заголовков ответа.
**Примечание:**Это свойство не влияет на запросы, отправленные на тот же домен.
**Примечание:**Ответы с другого домена не могут установить куки для своего собственного домена в случае, если перед созданием запроса флаг
withCredentials
не установлен вtrue
, несмотря на значение заголовковAccess-Control-
.
Пример
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/", true);
xhr.withCredentials = true;
xhr.send(null);
Спецификации
Specification |
---|
XMLHttpRequest Standard # the-withcredentials-attribute |
Совместимость с браузерами
BCD tables only load in the browser