1

我正在测试CORS最近在我公司的一种内部产品(Web 服务网关)上添加的支持。积极的情况下工作正常,我能够看到以下标题的正确值,如图所示(某些标题的值被有意空白):

Access-Control-Allow-Headers:origin, authorization  
Access-Control-Allow-Methods:[POST, GET]  
Access-Control-Allow-Origin: ....  
Content-Length:0  
Date:Wed, 25 Sep 2013 18:49:31 GMT  
Server: ....

但我的问题是关于不允许域时的预期响应:

  • 上述标头的值应该是什么?

  • 响应代码是否应该始终为 200?

  • 浏览器使用什么算法来确定飞行前响应是否失败并且不应该让原始调用通过,浏览器之间是否一致?

4

1 回答 1

1

如果您的 CORS 策略不允许请求的权限,则表明这一点的方法是省略值或响应标头。当然,如果您的服务器对所请求的 URL 的 CORS(或 OPTIONS)一无所知,那么您也可以返回 404 或 405 状态代码,这将告诉浏览器不允许跨域调用。

于 2013-09-26T12:36:14.310 回答