Membaca berbagai dokumentasi (seperti w3c CORS), saya harus mengatakan bahwa OPTIONS
tidak sepertinya tidak terdokumentasi dengan baik sama sekali.
Saya bertanya-tanya apakah server REST saya melakukannya dengan benar, yaitu mengembalikan 403 jika klien mencoba mengakses titik koneksi yang dilarang (apakah itu ada atau tidak, itu tidak selalu menjadi masalah, meskipun kadang-kadang server dapat mengembalikan 404 alih-alih.)
Namun, dokumentasi OPTIONS
tampaknya tidak menyimpulkan bahwa kode pengembalian tersebut valid.
Saya menemukan T/A stackoverflow ini di mana jawaban yang diterima sepertinya mengatakan bahwa kami dapat mengembalikan kode kesalahan apa pun.
Saya membayangkan itu akan menjadi lubang keamanan yang memungkinkan OPTIONS
melewatinya ketika pengguna tidak diizinkan. Pada saat yang sama, OPTIONS
mendefinisikan header Access-Control-Allow-Credentials
dan saya tidak melihat bagaimana saya bisa membuat header itu berguna jika saya mengembalikan 403 pada titik koneksi tersebut. (Dengan kata lain, bagi saya hal itu terdengar kontradiktif.)
Access-Control-Allow-Credentials
pada saat itu. - person Alexis Wilke   schedule 29.01.2019