我在a.com中有一个应用,它在b.com中请求资源。
在某些情况下,b.com会将客户端重定向到c.com。
在此类重定向后,浏览器将设置Origin: null标题(这符合规范)
我不想在Origin: null中允许c.com,因为这会泄露安全漏洞。
这种情况有解决方法吗? 我可以在响应文本中发送重定向,但我更倾向于使用更标准化的方法来解决此问题。
如果不清楚,这是完整的流程:
a.com - > b.com(Origin: a.com)
b.com发送Access-Control-Allow-Origin: a.com并将302重定向发送到c.com
浏览器使用c.com向Origin: null发送请求,但c.com不能
知道资源来自他信任的a.com,因此我们得到了CORS失败。