浏览器可以控制
Origin标题的设置,用户无法覆盖此值。因此,您不会看到
Origin来自浏览器的标头。恶意用户可以制作一个手动设置
Origin标头的curl请求,但是该请求将来自浏览器外部,并且可能没有特定于浏览器的信息(例如cookie)。
请记住:CORS不是安全性。不要依靠CORS保护您的网站。如果您要提供受保护的数据,请使用cookie或OAuth令牌或
Origin标头以外的其他内容来保护该数据。
Access-Control-Allow-OriginCORS中的标头仅指示应允许哪个起源发出跨域请求。不要再依赖它了。
