0

我正在测试一个Access-Control-Allow-Originhttp 响应头安全策略nginx

add_header Access-Control-Allow-Origin "https://google.com";

我希望请求在我的域上失败,但是它们正在工作,返回 200 状态代码。我确认确实Access-Control-Allow-Origin正在设置响应标头:

Access-Control-Allow-Origin:https://google.com
Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection:keep-alive
Content-Encoding:gzip
Content-Type:text/html
Date:Tue, 05 Feb 2013 20:22:17 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Pragma:no-cache
Server:nginx
Strict-Transport-Security:max-age=31556926
Transfer-Encoding:chunked
X-Frame-Options:DENY

请求标头显示正确的来源:

Origin:https://mydomainhere.com

知道是什么原因造成的吗?我希望请求失败。

谢谢。

4

1 回答 1

0

  • 服务器(像 nginx 这样的网络服务器)与 access-control-allow-origin 无关(除设置或取消设置标志外)。这是浏览器允许跨域 Ajax (XhttpRequest) 调用的一个方向。

  • 因此,当您将 access-control-allow-origin 设置为 google.com 时,您是在告诉 Bowser 允许 Ajax 从您的站点页面调用 google.com。

go through - HTTP 访问控制以获取更多详细信息。

于 2013-02-09T16:56:31.593 回答