CORS withCredentials Preflight XHR non pubblicare cookie in Firefox

Question

Sto tentando di eseguire un messaggio XHR CORS con credenziali. Funziona alla grande in Chrome, ma non in Firefox. I cookie non sono presenti nelle intestazioni delle richieste pre-volo, quindi visualizzo un 302. Funziona perfettamente in Chrome, poiché i cookie sono presenti nelle intestazioni delle richieste pre-volo e il successivo POST passa attraverso.

Perché non dovrebbe funzionare in FF? Cosa mi manca?

// assume url, boundEventHandler and uploadData are defined, as this definitely works in Chrome 
var xhr = new XMLHttpRequest(); 
xhr.open("POST", url, true); 
xhr.addEventListener ("readystatechange", boundEventHandler, false); 
xhr.withCredentials = true; // FWIW, I've also tried the string 'true' 
xhr.send(uploadData); 

Qualche idea? Vedo alcuni post che dicono che posso indirizzare la richiesta sul lato server, ma preferirei farlo funzionare secondo le specifiche CORS.

Grazie!

Answer 1

Per specifica a https://www.w3.org/TR/cors/#resource-preflight-requests la richiesta di preflight non include mai i cookie. In particolare, le specifiche dice:

• Escludere le credenziali dell'utente.

e che collegamenti a https://www.w3.org/TR/cors/#user-credentials che dice:

credenziali utente

Il termine per i fini della presente specifica significa cookie, l'autenticazione HTTP, SSL e client-side (...).

Detto questo, il frammento di codice che si citazione di cui sopra non dovrebbe comportare una verifica preliminare a tutti: non ci sono ascoltatori di eventi di upload, il metodo è il metodo semplice, e non ci sono intestazioni autore set. Quindi se stai davvero vedendo una richiesta di verifica preliminare, la prima domanda è perché sta accadendo. Avete estensioni in Firefox che potrebbero mungere il vostro oggetto XMLHttpRequest?

Answer 2

Ora Chromium (il 4 luglio 2014) non ha inviato cookie con una richiesta di preflight. https://code.google.com/p/chromium/issues/detail?id=377541