Fatal编程技术网
  • cors/
  • Cors “网站未发送”;允许访问控制源”;页眉,但浏览器仍显示页面

Cors “网站未发送”;允许访问控制源”;页眉,但浏览器仍显示页面

cors

Cors “网站未发送”;允许访问控制源”;页眉,但浏览器仍显示页面,cors,Cors,我阅读了关于CORS的文章,只是为了测试我的理解力。当我向www.facebook.com或www.google.com发送请求时,我查看了网络选项卡。我注意到FB没有返回任何“允许访问控制源”,但当然网站在浏览器中显示得很好。 我想知道还有什么其他机制可以使页眉不需要显示页面?是否有其他标题替换它?还是从我的浏览器(Chrome)发送的东西 编辑: 我也没有看到跨源资源策略 以下是响应标题: Request URL: https://www.facebook.com/ Request Meth

我阅读了关于CORS的文章,只是为了测试我的理解力。当我向
www.facebook.com
www.google.com
发送请求时,我查看了网络选项卡。我注意到FB没有返回任何“允许访问控制源”,但当然网站在浏览器中显示得很好。 我想知道还有什么其他机制可以使页眉不需要显示页面?是否有其他标题替换它?还是从我的浏览器(Chrome)发送的东西

编辑:

我也没有看到
跨源资源策略

以下是响应标题:


Request URL: https://www.facebook.com/
Request Method: GET
Status Code: 200 
Remote Address: [2a03:2880:f1ff:83:face:b00c:0:25de]:443
Referrer Policy: no-referrer-when-downgrade
alt-svc: h3-29=":443"; ma=3600,h3-27=":443"; ma=3600
cache-control: private, no-cache, no-store, must-revalidate
content-encoding: br
content-security-policy: default-src * data: blob: 'self';script-src *.facebook.com *.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* 'unsafe-inline' 'unsafe-eval' blob: data: 'self';style-src data: blob: 'unsafe-inline' *;connect-src *.facebook.com facebook.com *.fbcdn.net *.facebook.net *.spotilocal.com:* wss://*.facebook.com:* https://fb.scanandcleanlocal.com:* attachment.fbsbx.com ws://localhost:* blob: *.cdninstagram.com 'self' chrome-extension://boadgeojelhgndaghljhdicfkmllpafd chrome-extension://dliochdbjfkdbacpmhlcpmleaejidimm;block-all-mixed-content;upgrade-insecure-requests;
content-type: text/html; charset="utf-8"
date: Tue, 24 Nov 2020 03:42:52 GMT
expires: Sat, 01 Jan 2000 00:00:00 GMT
pragma: no-cache
set-cookie: fr=1B2sduhQhogDrYwiQ..BfvFG_.nK.AAA.0.0.BfvIE8.AWU8c0bvhA8; expires=Mon, 22-Feb-2021 03:42:51 GMT; Max-Age=7775999; path=/; domain=.facebook.com; secure; httponly; SameSite=None
status: 200
strict-transport-security: max-age=15552000; preload
vary: Accept-Encoding
x-content-type-options: nosniff
x-fb-debug: ndydAg/NW2/VbbduVxankoEol25sCwdsJws3NLF6nP25Sx0H6PMjCLAx6tTuGUjT/ctGISGqVNDYnRerzJkEqw==
x-frame-options: DENY
x-xss-protection: 0


访问时,我在“网络”选项卡中看到的第一个跨源请求是。相同的方案(https),端口号(443),但不同的域(API),所以跨源对吗?但是我没有看到
origin
请求头,因此没有
允许访问控制origin
响应头。在响应标题中,我看到的是
跨源资源策略
标题,其值为
跨源
。你可以读到它


当服务器将
跨源资源策略
响应头的值设置为
跨源
时,来自任何源(同一站点和跨站点)的请求都可以读取资源。这与设置
允许访问控制源代码:
标题的行为相同,但不需要
源代码
请求标题。
请参见上面的编辑,这是针对第一个请求的,对吗?是针对第一个请求。下一个请求确实有标题,但它们不会被第一个请求阻止吗?我认为您感到困惑的是CORS策略没有应用于第一个请求。您的浏览器正在www.facebook.com上请求资源。它得到它-然后浏览器开始读取文档。如果文档包含获取更多资源(图像、脚本、字体等)的指令,而这些资源不在第一个文档提供的位置,则CORS适用。啊,对。谢谢你的解释。