CORS
会社の内部製品 (Web サービス ゲートウェイ) の 1 つに最近追加されたサポートをテストしています。正のケースは正常に機能し、次のヘッダーの正しい値を確認できます (一部のヘッダーの値は意図的に空白になっています)。
Access-Control-Allow-Headers:origin, authorization
Access-Control-Allow-Methods:[POST, GET]
Access-Control-Allow-Origin: ....
Content-Length:0
Date:Wed, 25 Sep 2013 18:49:31 GMT
Server: ....
しかし、私の質問は、ドメインが許可されていない場合に予想される応答に関するものです。
上記のヘッダーの値は何ですか?
応答コードは常に 200 にする必要がありますか?
プリフライト応答が失敗したかどうかを判断するためにブラウザーが使用するアルゴリズムは何ですか?元の呼び出しを通過させてはなりません。ブラウザー間で一貫していますか?