0

我需要允许多个来源,为此我将OriginHTTP 标头中收到的来源与正则表达式进行匹配。

如果Origin标头匹配,则我将其值与Access-Control-Allow-Origin标头一起发回。

如果Origin不匹配会发生什么?

如果我有一个允许的域,那么我会使用Access-Control-Allow-Origin设置为该允许域的标头进行响应,但是由于我支持多个域,我不确定是否应该完全忽略 CORS 标头或使用Access-Control-Allow-Origin: null.

4

1 回答 1

1

响应不带 CORS 标头。这足以向下游客户端指示不允许来自源的 CORS。也Access-Control-Allow-Origin: null有一些语义含义,因为Origin: null它可以是一个有效值(这通常用于从 HTML 文件而不是 Web 服务器发出请求时)。

于 2013-10-09T21:23:41.120 回答