服务端响应头设置 Access-Control-Allow-Origin 貌似只是告诉客户端一个白名单,让客户端自觉建立连接,那如果客户端不自觉呢?服务端是不是还需要对 origin 进行判断来决定是否拒绝访问?那 Access-Control-Allow-Origin 的意义何在?
1 、标准的 web 浏览器是自觉的,不自觉的浏览器没人敢用。 2 、非必要,但可以。取决于你的网站对安全的需求。 3 、意义是区分资源所有者。 web 是利用域名来区分服务提供商的。 自己网站只能访问自己的接口,自己的接口只能被自己的网站访问,是天经地义的事情。