某些浏览器是否需要显式允许 Origin 标头才能成功实现 CORS?

发布于 2025-01-19 23:27:53 字数 319 浏览 1 评论 0原文

Go 流行的 CORS 中间件库是 rs/cors。在其源代码中,在无条件将 Origin 添加到允许的标头列表中的一些逻辑之上,我发现 以下评论

始终附加来源,因为某些浏览器始终会在预检时请求此标头

Among popular CORS middleware libraries for Go is rs/cors. In its source code, above some logic that unconditionally adds Origin to the list of allowed headers, I found the following comment:

Origin is always appended as some browsers will always request for this header at preflight

???? I find this statement surprising... The Fetch standard (the de factor standard for the CORS protocol) states that compliant user agents set the Origin header themselves. Therefore, there should be no use for compliant user agents to require servers to explicitly list Origin in the Access-Control-Allow-Headers header.

Do some wacky browsers actually require the Origin header to be explicitly allowed by the server for CORS to succeed? If so, what are those browsers and what is their rationale?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文