标签: webserver cors
我正在网站上测试cors,即使请求来源未经授权,选项请求也总是返回200。如果原始未经授权,则他们只是不添加标题。这符合规格吗?这对我来说很奇怪。
答案 0 :(得分:0)
是的,这是符合规范的预期和可接受的。发生网络或服务器错误时,可以并且应该返回非200响应。在没有服务器或网络错误的情况下,响应头应指示允许哪些来源和方法。例如,如果您的来源不在响应中的ACAO标题中,那么用户代理将中止而不发送原始请求。