我注意到，至少在某些情况下，某些浏览器似乎不支持CORS请求中的withCredentials。具体来说，在IE 10中，尝试设置xhr.withCredentials = true会导致:
SCRIPT5022: InvalidStateError
在Safari 5(而不是6)中，我得到了
INVALID_STATE_ERR: DOM Exception 11: An attempt was made to use an object that is not, or is no longer, usable.
再次，针对相同的陈述。

这些是已知问题，还是我以某种方式设置XHR错误？有哪些浏览器支持withCredentials的列表？

August 16, 2011 XHR draft指定设置withCredentials的规则:



但是，January 17, 2012 draft更宽松:



您可能在调用withCredentials之前设置了.open，这是2011年规范不允许的，但2012年规范允许。要同时满足这两个要求，只需在调用.open之后移动属性分配即可。