CORS withCredentials XHR Preflight nicht posten Cookies in Firefox

Question

Ich versuche, eine CORS XHR Post mit Anmeldeinformationen zu tun. Es funktioniert hervorragend in Chrome, aber nicht in Firefox. Die Cookies sind in den Headern der Pre-Flight-Anfragen nicht enthalten, daher sehe ich eine 302. Dies funktioniert perfekt in Chrome, da Cookies in den Pre-Flight-Request-Headern enthalten sind und der nachfolgende POST durchlaufen wird.

Warum sollte das nicht in FF funktionieren? Was vermisse ich?

// assume url, boundEventHandler and uploadData are defined, as this definitely works in Chrome 
var xhr = new XMLHttpRequest(); 
xhr.open("POST", url, true); 
xhr.addEventListener ("readystatechange", boundEventHandler, false); 
xhr.withCredentials = true; // FWIW, I've also tried the string 'true' 
xhr.send(uploadData); 

Irgendwelche Ideen? Ich sehe einige Beiträge, die sagen, ich kann die Anfrage auf der Serverseite Proxy, aber ich würde es vorziehen, dass dies in Übereinstimmung mit der CORS-Spezifikation funktioniert.

Danke!

Answer 1

Pro Spezifikation bei https://www.w3.org/TR/cors/#resource-preflight-requests enthält die Preflight-Anfrage niemals Cookies. Insbesondere sagt die Spezifikation:

• Benutzer-Credentials ausschließen.

und Links zu https://www.w3.org/TR/cors/#user-credentials die sagt:

Der Begriff Benutzerdaten für die Zwecke dieser Beschreibung bedeutet Cookies, HTTP-Authentifizierung und clientseitige SSL (...).

Das hieß, die Code-Snippet Sie oben zitieren sollten überhaupt keinen Preflight beinhalten: Es gibt keinen Upload-Ereignis-Listener, ist das Verfahren als einfache Methode, und es gibt keinen gesetzten Autor Header. Wenn Sie also eine Preflight-Anfrage sehen, lautet die erste Frage, warum das passiert. Haben Sie Erweiterungen in Firefox, die Ihr XMLHttpRequest-Objekt stören könnten?

Answer 2

Jetzt Chromium (4. Juli 2014) nicht Cookie mit einer Preflight-Anfrage gesendet. https://code.google.com/p/chromium/issues/detail?id=377541