具有WWW-Authenticate标头的同源CORS



我在我的应用程序服务器上实现了一个摘要身份验证,在我的客户端中,我发出一个gethttp请求,我的服务器返回WWW-authenticate头,用我的javascript中的这个头我进行摘要质询并将其发送到服务器。一切都很好,因为我正在使用CORS进行测试,服务器和客户端不在同一个原点(所有带有Allow标头的策略都运行良好)。但我的问题是,当我在同一个来源的上下文中测试它时。浏览器捕获服务器的响应并放置典型的登录窗口,但我不希望浏览器这样做。

有人知道为什么浏览器会在同一个原点捕捉它并绘制窗口吗?它会以某种方式避免吗?

就像这个链接中一样,这个问题并不是一个好的解决方案。也许更改401未经授权的代码浏览器不会捕捉到并弹出窗口。

这个链接中有一个关于code.google的讨论,讨论了xhr.mozBackgroundRequest=true的firefox的解决方案,但在Chrome中没有解决方案。

我会将401更改为另一个代码,或者将WWW-Authenticate标头更改为其他自定义标头。

相关内容

  • 没有找到相关文章

最新更新