Назад | Перейти на главную страницу

IIS6 Разрешение CORS без Access-Control-Allow-Origin

Я не понимаю, что здесь происходит. У меня два сайта IIS6 работают на одном сервере. Один - www.example1.com, другой - www.example2.com.

При просмотре заголовков HTTP в Google Chrome я не вижу заголовков Access-Control-Allow- *. Тем не менее, когда я запрашиваю ресурс из любого домена, запрос выполняется.

Может кто-нибудь объяснить мне, почему запрос успешен?

Если вы не отправляете запрос из внешнего кода JavaScript в веб-приложении, запрос будет успешным. Браузер независимо получает ответ, но браузер является единственной точкой принудительного применения ограничений на запросы из разных источников. Если в ответе нет Access-Control-Allow-Origin заголовок ответа, браузер - это точка, в которой он будет заблокирован, но браузер только ограничивает возможность кода XHR / Fetch JavaScript для доступа к ответу. В противном случае вы по-прежнему сможете увидеть ответ в инструментах разработчика браузера, и если вы загрузите URL-адрес запроса в адресную строку браузера или используете URL-адрес запроса в качестве href или src значение в вашем источнике HTML.