Safari 12 заменяет заголовок авторизации

у нас есть веб-сервер (nginx) https://www.website.com , который защищен базовой аутентификацией. API https://www.website.com/api не имеет базовой аутентификации!

Проблема сейчас в том, что с Safari 12 (macOS и iOS) установлен заголовок http нашим javascript-приложением с токеном Bearer для запросов / api фактически не отправляется на сервер, поскольку он заменяется базовым токеном. Я вижу это на вкладке сети в инструментах разработчика Safari. Как упоминалось ранее, / api является открытым и не защищенным!

Chrome, например. отправил правильный токен на предъявителя, а не основной.

Когда я удаляю базовую аутентификацию в конфигурации nginx и перезапускаю сафари, все работает нормально, и токен Bearer отправляется в API.

Похоже, что Safari 12 просто автоматически отправляет базовый токен при каждом запросе домена.

У кого-нибудь есть идея, если это ошибка в сафари? Одним из решений может быть изменение цели api с / api на отдельный поддомен, такой как api.website.com.

Спасибо за вашу помощь.