允许用户凭据或用户会话与CORS请求一起发送,使服务器可以在CORS请求中保留用户数据。如果服务器需要在提供数据之前检查用户是否已登录(例如,仅在用户登录后才执行操作-这将要求CORS请求与凭据一起发送),这才有用。
通过Access-Control-Allow-Credentials响应OPTIONS预检请求发送标头,可以在服务器端实现预检请求。采取以下对DELETE资源的CORS请求的情况:
OPTIONS /cors HTTP/1.1 Host: example.com Origin: example.org Access-Control-Request-Method: DELETE
HTTP/1.1 200 OK Access-Control-Allow-Origin: example.org Access-Control-Allow-Methods: DELETE Access-Control-Allow-Credentials: true
该Access-Control-Allow-Credentials: true行指示DELETE可以使用用户凭据发送以下CORS请求。