當使用跨網域 AJAX 請求 (CORS) 存取 API,並且使用能防範跨站請求偽造 (CSRF) 攻擊的會話提供者(例如 OAuth)時,請使用此選項來進行已驗證的請求(即保持登入狀態),而不是使用 origin=*。此參數必須包含在任何預檢請求 (pre-flight request) 中,因此必須作為請求 URI 的一部分,而不能放在 POST 請求的主體中。
origin=*
請注意,大多數會話提供者(包括標準的基於 Cookie 的會話)不支援已驗證的 CORS,因此無法與此參數一起使用。