Cross Origin 4xx 错误响应被阻止

Question

我正在使用 XMLHttpRequest level2 进行跨源请求。 问题是，如果服务器返回错误代码，例如 409，浏览器将不允许我访问服务器返回的响应文本。 因此，如果服务器返回 409 并显示消息：“you are not allowed to do that again” 我只在客户端收到 409，但 xhr.responseText 为空...

这是规范的一部分还是我缺少标头或其他内容？

Answer 1

补充一下 monsur 所说的，规范对于这个特定用例并不完全清楚，但是如果你看一下第 7.3 节。在处理跨源请求状态时，它指示实现者针对各种错误“确保不泄露有关请求的任何进一步信息”。尽管这看起来过于保守，但您也可以认为这是一种良好/安全的最佳实践。请参阅：http://www.w3.org/TR/cors/ #cors-api-规范-响应

Answer 2

我认为这是浏览器对 CORS 实施过于保守的结果。我什至注意到在 Safari 中，抛出错误时 statusCode 为 0，而不是实际的 HTTP 状态。我认为在浏览器完善 onError 情况之前你无能为力。如果您可以控制服务器，则始终可以返回 HTTP 状态 200，然后将错误代码放入正文中。如果您想使用更标准的东西，JSON-RPC (http://json-rpc.org/) 可以做到这一点。