XMLHttpRequest: withCredentials プロパティ

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨2015年7月⁩.

メモ: この機能はウェブワーカー内で利用可能ですが、サービスワーカーでは使用できません。

XMLHttpRequest.withCredentials プロパティは論理値で、サイト間の Access-Control リクエストが Cookie、認証ヘッダー、 TLS クライアント証明書などの資格情報を使用して行うべきかどうかを示します。 withCredentials を設定しても、同じオリジンへのリクエストには影響しません。

さらに、このフラグは、レスポンスにおいて Cookie を無視すること示すためにも使われます。既定値は false です。異なるドメインからの XMLHttpRequest のレスポンスは、リクエストを行う前に withCredentials を true に設定しない限り、自身のドメインの Cookie 値を設定することができません。 withCredentials を true に設定することで得られるサードパーティ Cookie は、依然として同一オリジンポリシーを尊重するので、リクエストスクリプトが document.cookie やレスポンスヘッダーからアクセスすることはできません。

メモ: これは同じオリジンへのリクエストには影響しません。

メモ: 異なるドメインからの XMLHttpRequest レスポンスは、リクエストを行う前に withCredentials を true に設定しない限り、 Access-Control- ヘッダーの値にかかわらず、自ドメインの Cookie 値を設定できません。

値

論理値です。

例

const xhr = new XMLHttpRequest();
xhr.open("GET", "http://example.com/", true);
xhr.withCredentials = true;
xhr.send(null);

仕様書

Specification
XMLHttpRequest # the-withcredentials-attribute

ブラウザーの互換性

Help improve MDN

Learn how to contribute

This page was last modified on ⁨2025年9月4日⁩ by MDN contributors.

View this page on GitHub • Report a problem with this content