所以我有一个相同的网站,从不同的网络和计算机向(1)Chrome 76和(2)Chrome 77上的同一服务器发出相同的请求。
一个请求具有(1)Sec-Fetch-Mode: no-cors, Sec-Fetch-Site: cross-site,而另一个请求具有(2)Sec-Fetch-Mode: cors, Sec-Fetch-Site: same-site。
拥有no-cors的人失败了,但启用了CORS的C#Web API端点达到了400个(在各种设备上使用了数以千计的用户)。
这是怎么回事?有传言说Chrome bug不会发送该标头进行预检,但确实存在,并将其设置为no-cors。
安全设置还是Chrome中的错误?可修复的服务器端还是前端?
这是通过XMLHttpRequest发送的,而不是新的Fetch-API。