CORS and HTTP basic auth — как авторизироваться?

Question

[Frasty]

Есть веб сервисы 1C стоят на iss7 в настройках сервера указан

<add name="Access-Control-Allow-Origin" value="http://сайт" />
  так же добавлял 
name="Access-Control-Allow-Methods" value="POST,GET,OPTION"
name="Access-Control-Allow-Headers" value="Authorization"

$.support.cors = true; тоже добавлен

есть запрос

$.ajax({
					type : 'POST',
					crossDomain : true,
					dataType : 'xml',
					data: хмл-запрос,
//					headers : {'Authorization':'Basic ХХХХХХ'},
					url : 'Адресс',
					success : function(data){
						console.log(data);
					}
				});

Если убрать на сервере аутентификацию то все работает, по крайней мере в хроме и фф,
но если поставить её и раскоментить headers, то ответ "пустой" и пишет что "Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса", как передать нужный хедер в запросе?

P.S. с раскоменченым хедером работает если запустить хром с -args --disable-web-security
P.S.S в итоге нужна строка которая позволит авторизироватся хедером в пост запросе аякса

Answer 1

[Lynn «Кофеман»]

В ответе сервера должен быть заголовок Access-Control-Allow-Credentials

Cм. еще Requests with credentials

Important note: when responding to a credentialed request, server must specify a domain, and cannot use wild carding. The above example would fail if the header was wildcarded as: Access-Control-Allow-Origin: *.

Comments

[Frasty]

Ставил name="Access-Control-Allow-Credentials" value="true" , результат все тот же

[Frasty]

еще добавлял name="Access-Control-Allow-Methods" value="POST,GET,OPTION" и
name="Access-Control-Allow-Headers" value="Authorization"
результат тот же

[Lynn «Кофеман»]

Access-Control-Allow-Origin дожен быть не *

[Frasty]

он задан в формате value="http://сайт где выполняется.com"