允許使用者憑據或會話

允許用 CORR 請求傳送使用者憑證或使用者會話允許伺服器在 CORS 請求之間保留使用者資料。如果伺服器需要在提供資料之前檢查使用者是否已登入（例如，僅在使用者登入時執行操作 - 這將需要使用憑證傳送 CORS 請求），這將非常有用。

通過傳送 Access-Control-Allow-Credentials 標頭以響應 OPTIONS 預檢請求，可以在伺服器端實現預檢請求。將以下 CORS 請求案例提交給 DELETE 資源：

OPTIONS /cors HTTP/1.1
Host: example.com
Origin: example.org
Access-Control-Request-Method: DELETE

HTTP/1.1 200 OK
Access-Control-Allow-Origin: example.org
Access-Control-Allow-Methods: DELETE
Access-Control-Allow-Credentials: true

Access-Control-Allow-Credentials: true 行表示可以使用使用者憑證傳送以下 DELETE CORS 請求。