您的服务器颁发的 API 密钥具有与之关联的 CORS 来源。当服务器收到 API 请求时,它会从自定义标头中发送的 API 密钥中检索 CORS 来源并执行 CORS 判断。由于在预检请求期间未发送自定义标头(API 密钥),因此无法执行 CORS 判断。
解决方案是,我们考虑在预检请求时允许任意来源,不做 CORS 判断,在后续的 GET 和 POST 请求中根据 API key 关联的 CORS 来源进行判断,这样会不会存在安全问题?
主页
/
user-29159799