非 2xx 状态代码响应是否应包含 CORS 特定 headers
Should non-2xx status code responses include CORS specific headers
非 2XX 状态代码响应是否仍应包含特定于 CORS 的 headers,例如 Access-Control-Allow-Origin、Access-Control-Allow-Methods 和 Access-Control-Max-Age?这对客户有意义吗?
例如:
➜ api git:(master) ✗ curl -i http://127.0.0.1:9000/dfas
HTTP/1.1 404 Not Found
Connection: close
Server: Node.js v6.3.1
Cache-Control: no-cache, no-store
Access-Control-Max-Age: 300
Access-Control-Allow-Origin: *
Content-Type: application/json
Content-Length: 60
Date: Thu, 11 Aug 2016 22:58:33 GMT
{"code":"ResourceNotFound","message":"/dfas does not exist"}
是的,让服务器发送 CORS headers 是有意义的,即使是非 2xx 响应。原因是响应中没有 CORS headers,非 2xx 响应代码不会暴露给 JavaScript 客户端(通过 Fetch 或 XHR)。响应代码可能会显示在 devtools 控制台中,但
在没有 CORS headers 的情况下,客户端 JavaScript 唯一能够以编程方式确定的是发生了错误,而不是错误的响应代码。
因此,如果您希望 JavaScript 客户端能够根据响应代码进行有用的错误处理,即使在非 2xx 响应中,服务器也应该发送 CORS headers。
非 2XX 状态代码响应是否仍应包含特定于 CORS 的 headers,例如 Access-Control-Allow-Origin、Access-Control-Allow-Methods 和 Access-Control-Max-Age?这对客户有意义吗?
例如:
➜ api git:(master) ✗ curl -i http://127.0.0.1:9000/dfas
HTTP/1.1 404 Not Found
Connection: close
Server: Node.js v6.3.1
Cache-Control: no-cache, no-store
Access-Control-Max-Age: 300
Access-Control-Allow-Origin: *
Content-Type: application/json
Content-Length: 60
Date: Thu, 11 Aug 2016 22:58:33 GMT
{"code":"ResourceNotFound","message":"/dfas does not exist"}
是的,让服务器发送 CORS headers 是有意义的,即使是非 2xx 响应。原因是响应中没有 CORS headers,非 2xx 响应代码不会暴露给 JavaScript 客户端(通过 Fetch 或 XHR)。响应代码可能会显示在 devtools 控制台中,但 在没有 CORS headers 的情况下,客户端 JavaScript 唯一能够以编程方式确定的是发生了错误,而不是错误的响应代码。
因此,如果您希望 JavaScript 客户端能够根据响应代码进行有用的错误处理,即使在非 2xx 响应中,服务器也应该发送 CORS headers。