Странное поведение XSS
 

Здравствуйте. Столкнулся со следующей странностью при проведении XSS.
Пейлод, в виде тега с подключением стороннего скрипта, успешно попадает в админку.
Если из этого скрипта пытаюсь дёргать куки - пустота. Тут понятно, httpOnly. Я его вижу в запросах при первом посещении.
Если из скрипта дёргаю аяксом или ифреймом другие ссылки админки, то вместо них получаю контент формы авторизации. Будто человек, в чьём браузере сработка, не авторизован. При этом человек ходит по этим ссылкам спокойно (пейлод лежит на нескольких страницах, перемещения видны по сработкам), хтмл успешно получается из текущего <html>.
Что это может быть? Никаких необычных заголовков, по крайней мере на форме авторизации, не отдаётся. Может какой секурный плагин для браузера?

А withCredentials проставил?

Да, на результат это не повлияло.

А приложение это SPA ?

Возможно, есть смысл посмотреть клиент сайд апликухи, как там делаются запросы, мб там при подготовке запроса сетится какой-то header для авторизации?
Мб еще посмотреть что лежит в localstorage и sessionstorage.

Приложение не SPA, обращается к обычным пхп скриптам по полному урлу. Сторейджы пусты. На руках есть весь внутренний JS, но там простой jQuery. Есть не много аякса, и этот копипащенный код нормально работает. Проблема почему-то именно при открытии прямых не аяксовых урлов.

Забыл упомянуть про одну особенность - если обращаться ифреймом и аяксом к урлу который сейчас открыт в браузере, то всё отлично. Мне уже начинает казаться что там на каждом урле отдельная авторизация (например уникальный ключ в сессии). Просто форма одна и та же.