关于“Access-Control-Allow-Origin”标题,我有一个非常基本的问题。 假设我们有一个网站“www.siteA.com”将对另一个网站“www.siteB.com”进行CORS,并且siteB上的“Access-Control-Allow-Origin”设置为“www.siteC”。 com“只有。
当用户通过浏览器访问siteA并尝试从siteB访问内容时,响应会是什么样子?
请求是否会在服务器级别被阻止
或
是否会将“Access-Control-Allow-Origin”标题设置为“www.siteC.com”并将被用户的浏览器阻止? (我认为第一个是正确的)
答案 0 :(得分:0)
当用户通过浏览器访问siteA并尝试访问siteB中的内容时,响应会是什么样的?
与网站上的任何其他回复相同。
请求是否会在服务器级别被阻止
没有。 CORS是对浏览器的指令,它不应将同源策略应用于请求。服务器无法(可靠地)告知请求来自服务器级别的阻止位置。
是否会将“Access-Control-Allow-Origin”标题设置为“www.siteC.com”并将被用户的浏览器阻止?
是
答案 1 :(得分:0)
将被用户的浏览器阻止?
是的,因为只有www.siteC.com域可以根据您的Access-Control-Allow-Origin标头访问资源。他们会寄回去;
Access-Control-Allow-Origin:http://www.siteC.com
您可以通过this找到有关Access-Control-Allow-Origin标头的问题的答案。