具有WWW-Authenticate报头的同源和CORS

Question

我在我的应用服务器上实现了摘要身份验证，在我的客户端，我发出get http请求，服务器返回WWW-Authenticate头部，在我的javascript中使用这个头部，我执行摘要质询，并将其发送到服务器。一切正常，因为我正在使用CORS进行测试，服务器和客户端不在同一来源(所有带有Allow头的策略都运行正常)。但我的问题是，当我在同一来源的上下文中测试它时。浏览器捕获服务器的响应并放入典型的登录窗口，但我不希望浏览器这样做。

有人知道为什么浏览器在同一来源捕获它并绘制窗口吗？它会以某种方式被避免？

Answer 1

就像在这个link中，问题没有一个好的解决方案。也许更改401未经授权的代码浏览器没有捕捉到，并弹出窗口。

在这篇link中有一个关于code.google的讨论，讨论了火狐在xhr.mozBackgroundRequest = true时的解决方案，但在Chrome中没有解决方案。

我将为另一个代码更改401，或者为另一个自定义标头更改WWW-Authenticate标头。