哪台服务器必须实现CORS？

包含以下关于CORS的条目：

出于安全原因，浏览器将阻止跨源请求，除非服务器选择使用CORS头。浏览器还将发出额外的选项请求，以检查服务器允许哪些HTTP头和方法。了解更多关于CORS的信息

.withCredentials（）方法允许从源站发送Cookie，但仅当访问控制允许源站不是通配符（“*”）且访问控制允许凭据为“true”时

然而，它并没有解释哪个服务器需要实现CORS

（我认为）它可以引用两个服务器：

• 将HTML和JavaScript发送到浏览器的web服务器
• 交付的JavaScript向其发出请求的API/资源服务器

---

哪台服务器必须实现CORS？

交付的JavaScript向其发出请求的API/资源服务器是需要启用CORS支持的服务器-假设服务器运行的源位置与发出请求的前端JavaScript代码的源位置不同

将HTML和JavaScript发送到浏览器的服务器不需要启用CORS——假设您所指的服务器是发出请求的前端代码的来源

web服务器不需要启用CORS的原因是您没有向该服务器发出任何跨源请求。相反，它只是为您的前端JavaScript代码提供服务

但是前端JavaScript代码向其发出请求的其他来源的任何其他服务器必须启用CORS，否则浏览器将阻止前端JavaScript代码访问其他服务器发送的任何响应的响应正文和响应标题

有更多的细节