是否允许无原产地的CORS请求？

与CORS保护的资源访问控制相比，头中没有“源”的请求允许设置为特定fqdn的源收到正确的200响应是否正确

---

我预期会出现一个错误，例如当Origin设置为与允许的fqdn不同的fqdn时，它工作正常。

CORS保护旨在防止一个网站使用您的凭据触发另一个网站上的活动，例如a.com上的脚本通过AJAX请求将数据发布到B.com

如果站点触发对其他域的请求*，则浏览器会自动设置原点标头（且无法覆盖）。这是根据第二个站点上的“访问控制允许来源”标题进行检查的

如果您在浏览器中直接访问B.com，则源站将为空，因为您位于同一站点：CORS不相关。手动设置源标题将模拟限制行为，但CORS设计用于保护用户不受限制的情况并非正常情况

---

*某些类型的请求（如加载图像或脚本）未被CORS保护阻止

您是否观察到web浏览器未发送源标题？CORS由浏览器强制执行。服务器可能会也可能不会注意到源标题。不，我正在从浏览器直接向受CORS保护的资源发出请求，如果我在标题中指定源，则会被阻止，但如果我根本没有指定源，则会被阻止，因此我想知道这是否正确。您不能在CORS AJAX请求中覆盖源标题（除非服务器在Access Control Allow标头中指定了来源，这可能会很奇怪，而且可能是一个安全漏洞）。您的浏览器会自动为CORS请求设置源标题。如果这不是您的问题所在，请提供一个代码示例，因为不清楚发生了什么。因此，这就解释了为什么Python脚本或其他东西可以向任何网站发出请求并读取响应，但不能从一个网站向另一个网站读取响应。谢谢，我一直在想我昨天洗澡的时候一直在担心这件事。