为什么设置XMLHttpRequest.withCredentials = true允许CORS请求?

时间:2019-02-26 09:00:37

标签: cors xmlhttprequest

后端服务器返回

Allow-Control-Allow-Origin : *
Allow-Control-Allow-Credentials: true

因此服务器配置很好。

但是,当我发出请求时,如果我未将withCredentials设置为true,则服务器将返回401。

现在,我想了解为什么设置withCredentials有效。 MDN上的描述没有太大帮助。允许cookie如何使其起作用?

想象一下,用户从未打开目标后端服务器站点,因此该站点必须没有cookie。那么在请求中使用cookie有什么不同?

1 个答案:

答案 0 :(得分:0)

withCredentials: true告诉浏览器发送带有请求的cookie。 如果是false,浏览器将不会发送服务器最有可能用于身份验证的cookie。 如果没有Cookie,则服务器无法验证用户身份,并返回401 Unauthorized

相关问题
最新问题