据我了解,CORS 无法以您可以真正确定来电者是谁的方式准确地保护您。因为调用者可以发送他想要的任何 ORIGIN 标头。实际上,我在某处读到您无法通过 javascript 设置原始标头,因为它是受限制的标头 - 但我不太确定。无论如何..如果您要实现自己的 HttpClient ,您可以轻松伪造您的原始标头,从而使用您不应该使用的服务。
其次,如果没有指定 Origin 标头,则请求也可以正常工作。例如,我使用 Google Chrome 的 Postman Extension,它不发送任何原始标头。事实上,如果您尝试手动添加一个,它不会通过网络发送。
所以...