允許多個來源時的正確響應

Question

我需要允許多個來源，並且我將Origin HTTP標頭中收到的來源與正則表達式進行匹配。

如果Origin標題匹配，然後我發回它的值與Access-Control-Allow-Origin標題。

如果Origin不匹配會發生什麼？

如果我有一個允許的域，那麼我會Access-Control-Allow-Origin頭設置爲這讓域響應，但因爲我支持多個域我不知道我是否應該完全忽略CORS標頭或Access-Control-Allow-Origin: null迴應。

Answer 1

不使用CORS頭進行響應。這足以向下遊客戶表明CORS不被允許來源。另外Access-Control-Allow-Origin: null具有一些語義含義，因爲Origin: null可以是有效值（通常在從HTML文件而不是Web服務器發出請求時使用此值）。