Wie behandeln eine ungültige CORS preflight-Anfrage?

Angenommen, ein CORS-preflight-Anfrage kommt, aber es gibt ein nicht unterstützter Wert für eine oder mehrere Access-Control-Request-* Header. Wie sollte der server übermittelt diese zurück an den browser?

Einige Beispiele:

  • Der browser sendet einen preflight-request mit Access-Control-Request-Method: PUT, aber der server erlaubt keine PUT-Anforderungen für die angegebene Ressource.
  • Der browser sendet einen preflight-request mit Access-Control-Request-Headers: X-PINGOTHER, aber der server nicht zulässt, dass/verstehen Sie, dass header.

Der einzige Hinweis, den ich finden konnte befand sich in der W3C-Dokumentation, die angibt, dass der server "beenden, diese Anforderung", wenn es ein problem mit der Preflight Antwort, aber ich bin mir nicht sicher, was das in der Praxis aussieht (ist der server eigentlich sollte die Verbindung zu beenden ohne senden wieder eine Antwort??).

Oder wird der server nicht brauchen, um die Mühe mit der überprüfung überhaupt, da der browser wird wissen, dass es etwas falsch gemacht nur durch die überprüfung der Access-Control-Allow-* Antwort-Header?

InformationsquelleAutor user5568265 | 2015-11-16
  1. 1

    Tomcat CORS-Filter gibt eine 403 Antwort zurück, wenn eine ungültige CORS preflight-Anfrage empfangen wird:

    Wenn die Anforderung ungültig ist, oder ist das nicht erlaubt, dann Antrag ist abgelehnt mit den HTTP-status-code 403 (Forbidden). Ein Flussdiagramm, das veranschaulicht, request-Verarbeitung, die von diesem filter verfügbar ist.

    Erteilt, die Unterlagen nicht erklären, warum es dies tut, aber zumindest ist es dient als Ausgangspunkt.

    InformationsquelleAutor user5568265
Schreibe einen Kommentar