1

CORS会社の内部製品 (Web サービス ゲートウェイ) の 1 つに最近追加されたサポートをテストしています。正のケースは正常に機能し、次のヘッダーの正しい値を確認できます (一部のヘッダーの値は意図的に空白になっています)。

Access-Control-Allow-Headers:origin, authorization  
Access-Control-Allow-Methods:[POST, GET]  
Access-Control-Allow-Origin: ....  
Content-Length:0  
Date:Wed, 25 Sep 2013 18:49:31 GMT  
Server: ....

しかし、私の質問は、ドメインが許可されていない場合に予想される応答に関するものです。

  • 上記のヘッダーの値は何ですか?

  • 応答コードは常に 200 にする必要がありますか?

  • プリフライト応答が失敗したかどうかを判断するためにブラウザーが使用するアルゴリズムは何ですか?元の呼び出しを通過させてはなりません。ブラウザー間で一貫していますか?

4

1 に答える 1

1

要求されたアクセス許可が CORS ポリシーで許可されていない場合、これを示す方法は、値または応答ヘッダーを省略することです。もちろん、サーバーが要求された URL の CORS (または OPTIONS) をまったく認識していない場合は、クロスオリジン呼び出しが許可されていないことをブラウザーに伝える 404 または 405 ステータス コードを返すこともできます。

于 2013-09-26T12:36:14.310 に答える