XHR对象中的withCredentials

MDN

XMLHttpRequest.withCredentials 属性是一个Boolean类型，它指示了是否该使用类似cookies,authorization headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个跨站点访问控制（cross-site Access-Control）请求。在同一个站点下使用withCredentials属性是无效的。

此外，这个指示也会被用做响应中cookies 被忽视的标示。默认值是false。

如果在发送来自其他域的XMLHttpRequest请求之前，未设置withCredentials 为true，那么就不能为它自己的域设置cookie值。而通过设置withCredentials 为true获得的第三方cookies，将会依旧享受同源策略，因此不能被通过document.cookie或者从头部相应请求的脚本等访问。

讲人话

有些时候我们会发一些跨域请求，比如 domain-a.com 站点发送一个 api.domain-b.com/get 的请求，默认情况下，浏览器会根据同源策略限制这种跨域请求，但是可以通过 CORS (opens new window)技术解决跨域问题。

widthCredentials在同源下(相同域下是无效的)，也就是相同域下都会请求写在cookie。

在同域的情况下，我们发送请求会默认携带当前域下的 cookie，但是在跨域的情况下，默认是不会携带请求域下的 cookie 的，比如 domain-a.com 站点发送一个 api.domain-b.com/get 的请求，默认是不会携带 api.domain-b.com 域下的 cookie，如果我们想携带（很多情况下是需要的），只需要设置请求的 xhr 对象的 withCredentials 为 true 即可。

跨域情况下，需要携带请求域下的cookie那么就需要配置xhr对象的withCredentials。

需要额外注意的是

1. 当配置了xhr.withCredentials = true时，必须在后端增加 response 头信息Access-Control-Allow-Origin(CORS)，且必须指定具体域名，而不能指定为*。
2. 设置了widthCredentials为true的请求中会包含远程域的所有cookie，但这些cookie仍然遵循同源策略，所以你是访问不了这些cookie的。
3. Access-Control-Allow-Credentials: true

如果服务端不设置响应头，响应会被忽略不可用

默认情况下，标准的跨域请求是不会发送cookie等用户认证凭据的，XMLHttpRequest 2的一个重要改进就是提供了对授信请求访问的支持。也就是withCredentials配置。