我了解到,对于网站A向网站B发出请求,网站B必须在其标头响应中指定允许网站A访问Access-Control-Allow-Origin: http://siteA.com
此外this网站指出
启用跨源请求很简单,请拜托 如果您的数据是公开的,请启用CORS!
这对我有意义。
我的问题是,即使我的网站B没有为网站A指定Access-Control-Allow-Origin标头,我仍然可以通过使用Chrome插件或禁用网络安全,通过网站A上的客户端JS访问数据。这没有意义。 客户端如何修改服务器响应标头,网站A仍然可以通过JS访问数据?
如果重要的话,在这种情况下,Btw网站A是localhost:9000。
答案 0 :(得分:1)
客户端如何修改服务器响应头,站点A仍然可以通过JS
访问数据
嗯,它不能。问题是服务器只回复CORS头,如何解释它是一个浏览器的责任。例如,您仍然可以通过SetCurrentConsoleFontEx()从Internet中的任何网站检索数据。 CORS标题只是一种惯例。