Os navegadores móveis enviam cookies httpOnly por meio da tag de áudio HTML5?
Eu tento reproduzir alguns arquivos mp3 através da tag de áudio html5. Para o desktop isso funciona muito bem (com o Chrome), mas quando se trata de navegadores móveis (também Chrome (para Android)), parece haver algumas dificuldades:
Eu protegi o stream com alguma senha e, portanto, o servidor de streaming precisa encontrar um cookie de autenticação especial (spring security remember-me). Mas, de alguma forma, o navegador móvel não envia esse cookie quando acessa o fluxo de mp3 através da tag de áudio. Quando eu insiro o URL do stream diretamente na barra de endereços, tudo funciona bem.
Enquanto eu procurava o cookie perdido descobri que o navegador do celular ainda envia alguns cookies (por exemplo, o JSESSIONID), mas não todos. Investigações posteriores (PoC rápido com PHP) revelaram que o navegador móvel parece se recusar a enviar cookies através da tag de áudio que tem o conjunto HttpOnly Flag. Então minha pergunta é:
Esse é um comportamento específico, por que existem diferenças entre as versões para dispositivos móveis e desktop (do Google Chrome) e existe uma maneira de controlar o comportamento do lado do cliente?