Moin,

Wo ist das Cross-Origin in deiner Frage?

Zum Entwickeln der Funktionen des APIs habe ich eine Seite auf derselben Subdomain liegen gehabt, die per AJAX die Funktionalität getestet hat. Dort musste ich mir keine Sorgen um die Session machen, da sie die ganze Zeit weiterbestanden hat; man konnte also einfach mehrere AJAX-Requests absenden.

Als ich die Seite dann auf eine andere Subdomain verschoben habe ging gar nichts mehr - Grund: Cross-Origin-Request. Das habe ich serverseitig mit einer .htaccess gelöst, in der selbiges erlaubt wurde. Clientseitig erlaubt das Chrome schon einige Zeit. Einzelne Requests konnte ich jetzt senden, aber die Session wurde nach jedem Request entweder vernichtet oder eben nicht erkannt. Selbigem wollte ich eben mit übergeben der Session-ID vorbeugen.

Es ist zu beachten, dass das Ausgeben von Text vor dem Start der Session unschöne Effekte mit nicht setzbaren Headern zur Folge haben kann, sofern PHP standardmäßig ein Session-Cookie mit der ID generieren will.

Das stimmt. Das war von mir bewusst so zu Debuggingzwecken gebaut.

Grüße Marco