, Я обновил вопрос правильным ответом, чтобы избежать путаницы, и безопасным способом загрузки файла из аутентифицированного REST API без использования window.open. Извините за отсутствие опыта в области безопасности в 2015 году ...
ли я контролировать заголовки HTTP, отправленныеwindow.open (кросс-браузер)?
Если нет, могу ли я как-тоwindow.open страница, которая затем выдает мой запрос с пользовательскими заголовками в своем всплывающем окне?
Мне нужны хитрые хаки.