在服务器端实现CORS时,我将请求中的Origin
标头复制到响应Access-Control-Allow-Origin
中,原点是几个允许的来源之一。
但是,如果不允许原点,我该如何向用户或浏览器指明?返回允许来源的完整列表是否合适?或者这应该保密?我无法为不允许的原始in the spec找到正确的行动。
到目前为止,我最好的猜测是包含标题但将其设置为空字符串。通过这种方式,用户可以查看出现了什么问题,还可以查看其他有用标头的值,例如Access-Control-Allow-Methods
。