Blog

credentials: 'include' ve CORS: joker yok, sıkı kurallar

Çerez veya HTTP auth varken Allow-Origin * olamaz; Vary kritik hale gelir.

Yayın: 2025-02-28Güncelleme: 2025-03-211 dk okuma

corscookiescredentials

Tarayıcı gereksinimleri

Allow-Credentials true iken Allow-Origin belirli bir değer olmalıdır.

SameSite=None; Secure için HTTPS ve mutasyonlarda CSRF koruması gerekir.

Authorization’ı upstream’e iletmek açık bir bayrak olmalıdır.

Oturum sabitleme riski için gereksiz Set-Cookie’yi kesin.