Kerberos を使用して保護された REST API があります。他の場所でホストされているのは、この API を呼び出す Web アプリケーションです。
API に直接移動すると、認証は正常に機能し、Cookie が返されます。API のルート URI の Cookie があるため、webapp は問題なく動作します。
ただし、webapp に移動し、HTTP GETAJAX を使用して API にリクエストを行うと、リクエスト401: UnauthorizedはWWW-Authenticate:Negotiate. 同じアドレスに移動すると、chrome はネゴシエートして認証を取得しますが、この場合はこの時点で停止します。
API の一部をソースとする IFRAME を作成したり、ユーザーを API にリダイレクトして 307 を使用してユーザーをバウンスさせたりするなど、問題を回避するためのさまざまな醜いハックがありますが、これらは明らかに最適ではありません。
IE7では問題なく動作します。
これに対処する正しい方法は何ですか?