Возможно ли отправить кросс-доменный запрос на страницу с <allow-access-from domain="*"/> и использованием кредов пользователя (пользователь залогинен на сайте, во второй вкладке открывает страницу со скриптом, скрипт получает данные с того сайта и куда-нибудь отправляет =)?
На запрашиваемом сайте в crossdomain.xml:
<cross-domain-policy>
<allow-access-from domain="*"/>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
Получаю такую ошибку:
В целях безопасности, это сделали невозможно? Просто в F12-Network вижу, что responce то есть, а вот alert его не выводит, пишет Ошибка 0.
Сам код:
<!DOCTYPE HTML>
<html>
<body>
<p>Body</p>
<script>
var XHR = ("onload" in new XMLHttpRequest()) ? XMLHttpRequest : XDomainRequest;
var xhr = new XHR();
xhr.withCredentials = true;
xhr.open('GET', 'https://***.ru/user/', true);
xhr.onload = function() {
alert( this.responseText );
}
xhr.onerror = function() {
alert( 'Ошибка ' + this.status );
}
xhr.send();
</script>
</body>
</html>
Возможно ли это обойти?
Какие браузеры и какие версии не поддерживают данную безопасность?
