允许用户凭据或会话

Created: November-22, 2018

允许用 CORR 请求发送用户凭证或用户会话允许服务器在 CORS 请求之间保留用户数据。如果服务器需要在提供数据之前检查用户是否已登录（例如，仅在用户登录时执行操作 - 这将需要使用凭证发送 CORS 请求），这将非常有用。

通过发送 Access-Control-Allow-Credentials 标头以响应 OPTIONS 预检请求，可以在服务器端实现预检请求。将以下 CORS 请求案例提交给 DELETE 资源：

OPTIONS /cors HTTP/1.1
Host: example.com
Origin: example.org
Access-Control-Request-Method: DELETE

HTTP/1.1 200 OK
Access-Control-Allow-Origin: example.org
Access-Control-Allow-Methods: DELETE
Access-Control-Allow-Credentials: true

Access-Control-Allow-Credentials: true 行表示可以使用用户凭证发送以下 DELETE CORS 请求。