没有" Origin"的请求是否正确?在标题与CORS保护资源中,Access-Control-Allow-Origin设置为特定的fqdn会收到正确的200响应吗?
我期待一个错误,比如将Origin设置为与允许的fqdn不同的fqdn,同时它可以正常工作。
答案 0 :(得分:0)
CORS保护旨在防止一个网站使用您的凭据触发另一个网站上的活动,例如: A.com上的脚本通过AJAX请求向B.com发布数据。
如果站点触发对其他域*的请求,则源标头由浏览器自动设置(并且不能被覆盖)。这是根据' Access-Control-Allow-Origin'进行检查的。第二个网站上的标题。
如果您在浏览器中直接访问B.com,则Origin将为空,因为您位于同一站点:CORS不相关。手动设置Origin标头将模仿限制行为,但这不是CORS旨在保护用户免受的正常情况。
*某些类型的请求(例如加载图像或脚本)不会被CORS保护阻止