Access-Control-Allow-Credentials

gibt an, ob die Antwort auf die Anforderung für die Seite verfügbar gemacht werden kann.
Er kann verfügbar gemacht werden, wenn der Wert zurückgegeben wird.
true

Anmeldeinformationen sind Cookies, Autorisierungsheader oder TLS-Clientzertifikate.

Wenn dies als Teil einer Antwort auf eine Preflight-Anforderung verwendet wird,
gibt dies an, ob die eigentliche Anforderung mit Anmeldeinformationen erfolgen kann oder nicht.

Beachten Sie, dass einfache GET-Anforderungen nicht vorab ausgeführt werden,
d. h., wenn eine Anforderung für eine Ressource mit Anmeldeinformationen gestellt wird
und dieser Header nicht mit der Ressource zurückgegeben wird,
wird die Antwort vom Browser ignoriert und nicht an Webinhalte zurückgegeben.

Der Header funktioniert in Verbindung mit der XMLHttpRequest.withCredentials-Eigenschaft
oder mit der Option im Request()-Konstruktor der Fetch-API.
Anmeldeinformationen müssen auf beiden Seiten (im Header und in der XHR- oder Fetch-Anforderung) festgelegt werden,
damit die CORS-Anforderung mit Anmeldeinformationen erfolgreich ausgeführt werden kann

Beispiel

Access-Control-Allow-Credentials   true