我需要允许多个来源,为此,我将Origin HTTP标头中收到的来源与正则表达式进行匹配。
如果Origin标头匹配,那么我将其值与Access-Control-Allow-Origin标头一起发回。
如果Origin不匹配会发生什么?
如果我有一个允许的域,那么我会回复Access-Control-Allow-Origin标头设置到这个允许的域,但由于我支持几个域,我不确定是否应该完全省略CORS头或用{{ 1}}。
答案 0 :(得分:1)
没有CORS标头的响应。这足以向下游客户端指示不允许来自源的CORS。 Access-Control-Allow-Origin: null也有一些语义含义,因为Origin: null可以是有效值(通常在从HTML文件而不是Web服务器发出请求时使用)。