为什么服务器会关心它是否为所有请求启用了 CORS?
Why would a server care if it enables CORS for all requests?
我知道同源策略很重要,Web 服务器需要启用 CORS 才能绕过它,我只是不明白为什么服务器不自由地授予 CORS 请求。
如果我有类似 API 的东西,我为什么要关心谁、什么站点或以什么方式有人从 API 请求详细信息?
同源政策是一个大问题 - 不仅仅是一个很大的不便。如果您不希望您的资产和 API 被域外的其他人使用,那么您不希望向所有人慷慨地授予 CORS。
即使某些资产在某种程度上是 public,您也不希望它被其他网站使用和滥用,因为带宽是有成本的。
我知道同源策略很重要,Web 服务器需要启用 CORS 才能绕过它,我只是不明白为什么服务器不自由地授予 CORS 请求。
如果我有类似 API 的东西,我为什么要关心谁、什么站点或以什么方式有人从 API 请求详细信息?
同源政策是一个大问题 - 不仅仅是一个很大的不便。如果您不希望您的资产和 API 被域外的其他人使用,那么您不希望向所有人慷慨地授予 CORS。
即使某些资产在某种程度上是 public,您也不希望它被其他网站使用和滥用,因为带宽是有成本的。