为什么CORS规范不允许重定向?

时间:2014-06-10 08:03:54

标签: http redirect cors w3c

W3C CORS spec明确指出第2步

  

如果响应的HTTP状态代码为301,302,303,307或308

 Apply the cache and network error steps.

我认为已采用此措施来降低安全风险。但是,我无法找到详细说明允许重定向的安全后果的来源。


有人询问有关如何规避此问题的问题before。我正在寻找一个解释,为什么这个条款首先包含在规范中,如下面的问题:

CORS - What is the motivation behind introducing preflight requests?

Why does a cross-origin HEAD request need a preflight check?

1 个答案:

答案 0 :(得分:1)

来自WHATWG mailing list

  

主要是因为预检取件一切都变得更多   复杂。我们确实打开了大门,可能允许这样做   在某种程度上,只要我们找出一个理智的协议,但是将其排除在外   最初是为了简单起见。