W3C CORS spec明确指出第2步:
如果响应的HTTP状态代码为301,302,303,307或308
Apply the cache and network error steps.
我认为已采用此措施来降低安全风险。但是,我无法找到详细说明允许重定向的安全后果的来源。
有人询问有关如何规避此问题的问题before。我正在寻找一个解释,为什么这个条款首先包含在规范中,如下面的问题:
CORS - What is the motivation behind introducing preflight requests?
Why does a cross-origin HEAD request need a preflight check?
答案 0 :(得分:1)
主要是因为预检取件一切都变得更多 复杂。我们确实打开了大门,可能允许这样做 在某种程度上,只要我们找出一个理智的协议,但是将其排除在外 最初是为了简单起见。