Aplicación web con CORS Origin: * usando el encabezado de autorización

1

Como se indica aquí, enlace en "Solicitudes con credenciales y comodines". Cita:

  

Al responder a una solicitud con credenciales, el servidor debe especificar una   origen en el valor del encabezado Access-Control-Allow-Origin, en lugar de   de especificar el comodín "*".

     

Debido a que los encabezados de solicitud en el ejemplo anterior incluyen una cookie   encabezado, la solicitud fallaría si el valor del   El encabezado de Access-Control-Allow-Origin era "". Pero no falla:   Debido a que el valor del encabezado Access-Control-Allow-Origin es   " enlace " (un origen real) en lugar del comodín "",   El contenido del conocimiento de credenciales se devuelve a la web de invocación.   contenido.

Entonces, si leo esto correctamente, si el Access-Control-Allow-Origin se establece en * . Las solicitudes CORS no se pueden realizar con credenciales, por ejemplo, con un encabezado Authorization: Bearer 123 .

Esto solo se aplica si la solicitud proviene de un origen diferente al de la aplicación web (SOP). De lo contrario, sería imposible para una aplicación web utilizar Access-Control-Allow-Origin: * y Authorization: Token 123 .

¿Entendí esto correctamente?

    
pregunta SaAtomic 21.09.2018 - 15:49
fuente

1 respuesta

1

Bastante, sí. La clave aquí es que el navegador no presta atención al encabezado ACAO para las solicitudes al mismo dominio: por lo tanto, puede poner lo que quiera en el encabezado ACAO, y funcionará para que su aplicación se ejecute en el mismo dominio.

Para solicitudes a un dominio diferente, el navegador presta atención al encabezado ACAO: si el origen es aceptable, luego observa qué otros encabezados Access-Control están incluidos, y toma medidas en función de ellos (por ejemplo, ignorando los encabezados de autenticación). si hay un comodín, o no hay encabezado Access-Control-Allow-Credentials: true )

    
respondido por el Matthew 21.09.2018 - 16:30
fuente

Lea otras preguntas en las etiquetas