Tôi đã đọc lên trên CORS
và cách hoạt động, nhưng tôi đang tìm thấy rất nhiều điều khó hiểu. Ví dụ, có rất nhiều chi tiết về những thứ nhưCORS sắp sửa giải quyết vấn đề gì?
tài
Joe
đang sử dụng trình duyệtBrowserX
để lấy dữ liệu từsite.com
, mà lần lượt sẽ gửi một yêu cầu đếnspot.com
. Để cho phép điều này,spot
có tiêu đề đặc biệt ... yada yada yada
Nếu không có nền nhiều, tôi không hiểu tại sao các trang web không cho phép yêu cầu từ một số nơi. Ý tôi là, họ tồn tại để đáp ứng yêu cầu, phải không? Tại sao một số yêu cầu nhất định không được phép?
Nó sẽ thực sự đánh giá cao một lời giải thích tốt đẹp (hoặc một liên kết đến một) của vấn đề mà CORS
được thực hiện để giải quyết.
Vì vậy, câu hỏi là,
gì là vấn đề CORS
được giải quyết?
Ah ok, do đó, đó là trình duyệt đặt các quy tắc này. Nếu vậy, thì cái gì với 'Access-Control-Allow-Origin' ở cuối máy chủ? Làm thế nào sẽ vượt qua các yêu cầu xuất xứ ngay cả khi đến đó nếu trình duyệt không cho phép? – CodyBugstein
@Imray - xem liên kết CORS trong câu trả lời của tôi. Trình duyệt mới hơn * hỗ trợ * CORS nếu các trang web * chọn tham gia * để sử dụng nó (thông qua tiêu đề). – Haney
Trong MDN Access Cotrol doc, yêu cầu GET với thông tin đăng nhập không được xem trước. Nhưng nếu tiêu đề phản hồi không bao gồm Access-Control-Allow-Credentials: true thì phản hồi sẽ không có sẵn cho trình khách gọi. Nếu hành vi này giống với POST (yêu cầu POST đơn giản với thông tin đăng nhập - Loại nội dung có thể là biểu mẫu dữ liệu), thì có nguy cơ POST có thể thay đổi trạng thái máy chủ mặc dù phản hồi có thể không được cung cấp cho khách hàng. Giả định này có đúng không? HOẶC yêu cầu POST có thông tin đăng nhập được bay trước? –