SO 已审核问题

我知道以下问题：

野生动物园："被屏蔽 https://...更新到 Angular 8

野生动物园

另一方面，Safari(桌面[14.0.3]或移动[iOS 14])的行为有所不同。如果我的页面落后于基本身份验证，它会提示我输入凭据并开始呈现其内容，但是当引擎到达我的文件时，它不会提示我输入凭据，它会在控制台中记录一些错误消息，指出发生了401 UnauthorizedHTTP 错误，并且根据脚本，控制台还将包含一个错误，指出：

Blocked ... from asking for credentials because it is a cross-origin request.

到目前为止的分析

它可能看起来像一个混合内容(HTTPS包含在HTTPS页面中)，但到目前为止我所讨论的所有内容都在HTTPS下，具有有效证书。

这似乎也是一个 CORS 问题，但实际上，服务器返回的401实际上确实包含所有需要的 CORS 标头：

HTTP/1.1 401 Unauthorized
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
...
WWW-Authenticate: Basic realm="Fake Realm"

请注意，对script和link标记的文件请求GET请求，因此允许Access-Control-Allow-Origin: *。

测试用例

我已经测试过：

• script和link没有crossorigin属性的标记
• script和link具有crossorigin属性的标记
• script和link带有crossorigin="anonymous"标签
• script和link带有crossorigin="use-credentials"的标签

以上所有功能在最新的Chromium和Firefox中都有效，但在macOS的Safari 14.0.3中不起作用，在iPadOS 14的Safari中不起作用，也不能在iOS 14的Safari中运行。

问题

我的问题是：有没有人在 Safari 中拥有这样的设置(经过基本身份验证的跨源资源)？你能告诉我的代码中可能导致此问题的原因吗(见下文)？

请注意，从"CDN"中删除身份验证不是一个选项。

所有这些都让我想到：

• Safari 不支持此类请求(经过基本身份验证的跨源资源)
• Safari的实现是不合规格
的
• Chromium和Firefox的实现是不合规格
的。

如何复制

我将以下示例留给您测试，它使用 HTTPBin 来模拟基本身份验证请求，该请求在 Chromium 和 Firefox 中提示输入凭据，但在 Safari 中无法提示。

用户：user
密码：passwd

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width">
<title>Safari basic authentication issue</title>
</head>
<body>
<!-- This emulates HTTP authentication and when correctly authenticated returns a JSON response which is invalid JS but this serves for the purpose of prompting for credentials -->
<script src="https://httpbin.org/basic-auth/user/passwd" crossorigin="use-credentials"></script>
</body>
</html>