我正在测试最近在我公司的一个内部产品(Web服务网关)上添加的CORS支持。正面案例工作正常,我能够看到如下所示的以下标题的正确值(某些标题的值有意消隐):
Access-Control-Allow-Headers:origin, authorization
Access-Control-Allow-Methods:[POST, GET]
Access-Control-Allow-Origin: ....
Content-Length:0
Date:Wed, 25 Sep 2013 18:49:31 GMT
Server: ....
但我的问题是关于不允许域名时的预期响应:
上述标题的价值应该是什么?
响应代码应始终为200?
浏览器使用什么算法来确定飞行前响应是否失败并且不应让原始呼叫通过,浏览器中是否一致?
答案 0 :(得分:1)
如果您的CORS策略不允许请求的权限,那么指示这一点的方法是省略值或响应头。当然,如果您的服务器对所请求的URL一无所知CORS(或OPTIONS),那么您还可以返回404或405状态代码,这将告诉浏览器不允许跨源调用。