При отправке запросов CORS (XHR API) учетные данные не должны отправляться неявно ( W3C spec ). Это следует делать только в том случае, если для параметра withCredentials установлено значение true.
Видимо Android не учитывает это правило?
Пример системы CORS можно найти здесь . Этот пример работает для Mozilla (Firefox и Fennec), Google Chrome и Safari, но не для браузера Android.
Кто-нибудь может подтвердить этот недостаток?
Grtz,
Маартен