使用https://cors-test.codehappy.dev/为了测试我们的测试服务器的新 CORS 策略,我们收到:
These are the response headers received when making the request:
access-control-allow-credentials: true
access-control-allow-methods: GET, POST, DELETE, PUT
access-control-allow-origin: https://*.hotjar.com
access-control-max-age: 300
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
strict-transport-security: max-age=63072000; includeSubDomains; preload
referrer-policy: strict-origin-when-cross-origin
server: cloudflare
我们是否能够在网络选项卡的响应标头部分看到这些标头?
所有的允许控制标头均不可见:
access-control-allow-credentials: true
access-control-allow-methods: GET, POST, DELETE, PUT
access-control-allow-origin: https://*.hotjar.com
access-control-max-age: 300
更新:在隐身窗口中,上次修改日期/时间大约是 58 分钟前。
自首次在此处发布以来,测试服务器上的 CORS 访问控制标头尚未进行调整。
答案1
我发现有两个潜在问题。
根据您的请求,自 2022 年 10 月以来,网站数据没有发生变化,请尝试清除/禁用浏览器中的缓存。您的网站可能不会触发浏览器中缓存数据的刷新,并且会向您显示旧的 cors 数据。
您有负载均衡器、http/https 差异或基于连接的访问控制。确保您从同一连接执行两个测试,以确保那里的所有内容都相同。- 在这里,我可能会相信 CORS 测试器的结果,而不是我自己的浏览器。