การอ่านเอกสารต่างๆ (เช่น w3c CORS) ฉันต้องบอกว่า OPTIONS
ทำ ดูเหมือนจะไม่ได้รับการบันทึกไว้อย่างดีเลย
ฉันสงสัยว่าเซิร์ฟเวอร์ REST ของฉันทำถูกต้องหรือไม่ ซึ่งจะส่งคืน 403 หากไคลเอนต์พยายามเข้าถึงจุดเชื่อมต่อที่ถูกห้าม (ไม่ว่าจะมีอยู่หรือไม่ก็ตาม ไม่สำคัญเสมอไป แม้ว่าในบางครั้งเซิร์ฟเวอร์อาจส่งคืน 404 แทน.)
อย่างไรก็ตาม ดูเหมือนว่าเอกสารประกอบ OPTIONS
ไม่ได้อนุมานว่าโค้ดส่งคืนนั้นถูกต้อง
ฉันพบ stackoverflow Q/A นี้ ซึ่งคำตอบที่ได้รับการยอมรับดูเหมือนว่าจะบอกว่าเราสามารถส่งคืนรหัสข้อผิดพลาดใดๆ ได้
ฉันคิดว่ามันจะเป็นช่องโหว่ด้านความปลอดภัยที่จะอนุญาตให้ OPTIONS
ทะลุผ่านได้เมื่อผู้ใช้ไม่ได้รับอนุญาต ในเวลาเดียวกัน OPTIONS
กำหนดส่วนหัว Access-Control-Allow-Credentials
และฉันไม่เห็นว่าจะทำให้ส่วนหัวนั้นมีประโยชน์ได้อย่างไรหากฉันส่งคืน 403 บนจุดเชื่อมต่อดังกล่าว (หรืออีกนัยหนึ่งสำหรับฉันมันฟังดูขัดแย้งกัน)
Access-Control-Allow-Credentials
ที่จุดนั้นได้ - person Alexis Wilke   schedule 29.01.2019