没有CORB阻止的对html资源获取的cors不透明请求

我正在尝试获取位于url的html文件https://sub.app.test/html 从…起https://app.test 不使用cors模式，但响应被CORB跨源读取阻塞

fetch('https://sub.app.test/html', { mode: 'no-cors'})

为什么？

即使没有使用cors模式，响应也不需要访问控制，允许源站被允许。请求被CORB阻止，因为html内容被视为数据资源，它可能包含敏感数据。在响应正文或X-Content-type-Options中嗅探任何具有MIME类型text/html和html的资源：设置nosniff将被CORB阻止，以便敏感数据不会使用推测性侧通道攻击（如幽灵漏洞）泄漏资源不会添加到站点渲染器的内存中

有几种方法可以绕过此约束：

为来自同一来源app.test的资源提供服务 使用cors模式服务器需要添加正确的访问控制标头 将MIME类型更改为text/html以外的其他类型，或者完全不要设置标题 阅读更多：

尽管没有使用cors模式，因此响应不需要访问控制，允许源代码被允许，但请求被CORB阻止，因为html内容被视为数据资源，它可能包含敏感数据。在响应正文或X-Content-type-Options中嗅探任何具有MIME类型text/html和html的资源：设置nosniff将被CORB阻止，以便敏感数据不会使用推测性侧通道攻击（如幽灵漏洞）泄漏资源不会添加到站点渲染器的内存中

有几种方法可以绕过此约束：

为来自同一来源app.test的资源提供服务 使用cors模式服务器需要添加正确的访问控制标头 将MIME类型更改为text/html以外的其他类型，或者完全不要设置标题 阅读更多：

---

即使没有遇到任何CORB问题，指定“no cors”模式也会阻止前端JavaScript代码访问响应体或响应头。有关详细信息，请参阅和@sideshowbarker的答案是的，我知道没有cors响应只能用作sivaleio元素的源，因为它们不受SOP限制，即使您没有遇到任何CORB问题，指定“no cors”模式也会阻止前端JavaScript代码访问响应体或响应头。有关详细信息，请参阅和@sideshowbarker的答案是的，我知道没有cors响应只能用作sivaleio元素的源，因为它们不受SOP的限制