Запрос сценария не отправляется с заголовком проверки подлинности

Question

У меня есть страница с базовой аутентификацией. После проверки подлинности моих запросов на страницу и ее ресурсы (CSS и т. Д.) Появляется заголовок Authentication

Authorization   Basic NOTREALNOTREALNOTREALNOTREALNOTREAL=

В конце тела я загружаю внешний скрипт.

<script type="module" src="/main.js"></script>

Этот запрос не отправляется с заголовком аутентификации. Это единственное, что не на странице. Это вызывает ответ 401 со следующим заголовком

WWW-Authenticate    Basic realm="mydomain.com"

Это происходит как в Chrome, так и в Firefox.

Кто-нибудь знает, почему это так или как получить его для отправки?

Answer 1

Похоже, это причудой <script type="module">, которая заставляет их всех обрабатываться как запросы CORS, и поэтому они не отправляют заголовки аутентификации по умолчанию.

Это можно обойти, добавив атрибут crossorigin="use-credentials" в тег скрипта:

<script type="module" src="/main.js" crossorigin="use-credentials"></script>

должно работать.