CORS withCredentials XHRプリフライトが公開されていないFirefoxでのCookie

Question

私は信任状でCORS XHRの投稿をしようとしています。 Chromeではうまく動作しますが、Firefoxではうまく動作しません。クッキーはフライト前のリクエストヘッダには存在しないので、私は302を見ています。これはクッキーがフライト前のリクエストヘッダにあり、その後のPOSTが通過するので、Chromeでは完全に機能します。

なぜFFで動作しないのですか？私は何が欠けていますか？

// assume url, boundEventHandler and uploadData are defined, as this definitely works in Chrome 
var xhr = new XMLHttpRequest(); 
xhr.open("POST", url, true); 
xhr.addEventListener ("readystatechange", boundEventHandler, false); 
xhr.withCredentials = true; // FWIW, I've also tried the string 'true' 
xhr.send(uploadData); 

私は、サーバー側で要求をプロキシできると言ういくつかの記事を見ていますが、私はCORS仕様に準拠してこれを動作させたいと思っています。

ありがとうございます！

Answer 1

https://www.w3.org/TR/cors/#resource-preflight-requestsのスペックでは、プリフライト要求にクッキーは含まれません。具体的には、スペックは言う：

• は、ユーザーの資格情報を除外します。言うhttps://www.w3.org/TR/cors/#user-credentialsから

とそのリンク：

本明細書の目的のために長期的なユーザーの資格情報は クッキー、HTTP認証、およびクライアント側のSSL（...）を意味します。

つまり、上で引用したコードスニペットには、プリフライトはまったく含まれてはいけません。アップロードイベントリスナーはなく、メソッドは単純なメソッドであり、作成者ヘッダーは設定されていません。したがって、実際にプリフライトリクエストが表示されている場合、最初の質問はそれが起こっている理由です。 FirefoxにXMLHttpRequestオブジェクトが含まれていない拡張機能がありますか？

Answer 2

今すぐChromium（2014年7月4日）はプリフライトリクエストでクッキーを送信しません。 https://code.google.com/p/chromium/issues/detail?id=377541