Wie behandeln eine ungültige CORS preflight-Anfrage?
Angenommen, ein CORS-preflight-Anfrage kommt, aber es gibt ein nicht unterstützter Wert für eine oder mehrere Access-Control-Request-*
Header. Wie sollte der server übermittelt diese zurück an den browser?
Einige Beispiele:
- Der browser sendet einen preflight-request mit
Access-Control-Request-Method: PUT
, aber der server erlaubt keine PUT-Anforderungen für die angegebene Ressource. - Der browser sendet einen preflight-request mit
Access-Control-Request-Headers: X-PINGOTHER
, aber der server nicht zulässt, dass/verstehen Sie, dass header.
Der einzige Hinweis, den ich finden konnte befand sich in der W3C-Dokumentation, die angibt, dass der server "beenden, diese Anforderung", wenn es ein problem mit der Preflight Antwort, aber ich bin mir nicht sicher, was das in der Praxis aussieht (ist der server eigentlich sollte die Verbindung zu beenden ohne senden wieder eine Antwort??).
Oder wird der server nicht brauchen, um die Mühe mit der überprüfung überhaupt, da der browser wird wissen, dass es etwas falsch gemacht nur durch die überprüfung der Access-Control-Allow-*
Antwort-Header?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Tomcat CORS-Filter gibt eine 403 Antwort zurück, wenn eine ungültige CORS preflight-Anfrage empfangen wird:
Erteilt, die Unterlagen nicht erklären, warum es dies tut, aber zumindest ist es dient als Ausgangspunkt.