头中没有"Origin"的请求与CORS保护的资源Access Control Allow Origin设置为特定fqdn的请求接收到正确的200响应是否正确?
我预计会出现一个错误,比如Origin被设置为与允许的fqdn不同的fqdn,但它工作得很好。
CORS保护旨在防止一个网站使用您的凭据触发另一个网站上的活动,例如a.com上的脚本通过AJAX请求向B.com发布数据。
如果站点触发对不同域的请求,则浏览器会自动设置Origin标头(不能覆盖)*。这是根据第二个站点上的"Access Control Allow Origin"标头进行检查的。
如果你在浏览器中直接访问B.com,那么Origin将为空,因为你在同一个网站上:CORS不相关。手动设置Origin标头将模拟限制行为,但这不是CORS旨在保护用户免受限制的正常情况。
*某些类型的请求(如加载图像或脚本)不会被CORS保护阻止