我正在尝试在服务器上创建白名单,如果请求的主机在白名单中,则设置Allow-Control-Access-Origin标头。我看到所有人都说我们应该在响应标题中添加Allow-Control-Access-Origin: <request host origin>
,我也相信这是正确的方法,但我有一个问题:
如果我发现请求来自可信主机并添加
标题中的Allow-Control-Access-Origin: *
也可以吗?
浏览器会记住*并允许所有未来的请求来自某个地方也可以调用此服务器吗?或者,如果浏览器仍会针对每个请求检查此标头。如果浏览器检查每个请求,那么返回*或此时特定主机来源有什么不同?谢谢。