即使响应标头不包含“ Access-Control-Allow-Origin”,我也可以将发布/删除/删除发送到我的本地主机,我使用的是chrome,所以我的问题是
1-如果没有返回“ Access-Control-Allow-Origin”,将允许来自其他站点的请求吗?
2-为什么请求在我的本地主机上起作用,浏览器在请求中发送了以下标头:
还是浏览器忽略响应标头“ Access-Control-Allow-Origin”(源相同)?
答案 0 :(得分:1)
如果未返回“ Access-Control-Allow-Origin”,是否允许来自其他站点的请求?
在所有其他条件相同的情况下,将允许POST请求,但相同原点策略将阻止JS读取响应。
PUT和DELETE请求需要一个Preflight请求才能首先从CORS接收许可,因此这些请求将被阻止。
为什么请求在我的本地主机上有效
当请求来自相同来源时,相同来源策略不会阻止访问。