Access-Control-Expose-Headers如何在没有Access-Control-Allow-Origin的情况下工作

时间:2017-11-13 10:45:11

标签: javascript security xmlhttprequest

我在我的API中实施Access-Control-Allow-Origin,包括通过Access-Control-Expose-Headers共享自定义标头。在某些情况下(即请求中存在id没有Origin标头,或者Origin标头包含非白名单值,我没有返回Access-Control-Allow-Origin标头(这是我理解应该实施的方式。)

  • 我在这种情况下是否仍然可以发送Access-Control-Expose-Headers(根据规范)?
  • 我应该在这种情况下仍然发送Access-Control-Expose-Headers(根据规范)?
  • 在这些情况下,我希望它意味着:"如果您向我发送了正确的Origin标头,那么这些标题就是您可以看到的,但是现在您无法访问它们。这种期望是否正确?

我害怕the official specs,而MDN documentation似乎解决了这一点;但是我确定必须有一些解决这个问题的文档,所以任何指针都会非常感激!

0 个答案:

没有答案