Moin!

Wo ist das Cross-Origin in deiner Frage?

Zum Entwickeln der Funktionen des APIs habe ich eine Seite auf derselben Subdomain liegen gehabt, die per AJAX die Funktionalität getestet hat. Dort musste ich mir keine Sorgen um die Session machen, da sie die ganze Zeit weiterbestanden hat; man konnte also einfach mehrere AJAX-Requests absenden.

Als ich die Seite dann auf eine andere Subdomain verschoben habe ging gar nichts mehr - Grund: Cross-Origin-Request. Das habe ich serverseitig mit einer .htaccess gelöst, in der selbiges erlaubt wurde. Clientseitig erlaubt das Chrome schon einige Zeit. Einzelne Requests konnte ich jetzt senden, aber die Session wurde nach jedem Request entweder vernichtet oder eben nicht erkannt. Selbigem wollte ich eben mit übergeben der Session-ID vorbeugen.

Was einigermaßen unsinnig ist, weil es sich mit dem Konfigurieren des Session-Cookies viel leichter umgehen lässt. Wenn das Cookie für die gesamte Domain "*.example.com" gilt, kriegt jede Subdomain diese Information, und es muss nicht manuell in der URL weitergereicht werden.

- Sven Rautenberg