默認情況下,跨源請求不提供憑據(cookie、HTTP認證及客戶端SSL證明等)。通過將withCredentials屬性設置為true,可以指定某個請求應該發送憑據。如果服務器接收帶憑據的請求,會用下面的HTTP頭部來響應。
Access-Control-Allow-Credentials: true
如果發送的是帶憑據的請求,但服務器的相應中沒有包含這個頭部,那么瀏覽器就不會把相應交給JavaScript(於是,responseText中將是空字符串,status的值為0,而且會調用onerror()事件處理程序)。另外,服務器還可以在Preflight響應中發送這個HTTP頭部,表示允許源發送帶憑據的請求。
支持withCredentials屬性的瀏覽器有Firefox 3.5+、Safari 4+和Chrome。IE10及更早版本都不支持。