CORS

首先,看标准

好文章:

服务端如何处理不匹配的 Origin

看了这两个库的实现,都是只设置了 Access-Control-Allow-Origin 以及其他响应头,而且会继续执行业务逻辑。

但是当客户端请求的 Origin 和服务端 allow-origin 不匹配时,有必要继续执行到业务逻辑吗? 不仅是 GET 请求,POST 请求也可能是简单请求,不会对服务端造成影响吗?

根据 W3C 标准里的介绍

This extension enables server-side applications to enforce limitations (e.g. returning nothing) on the cross-origin requests that they are willing to service.

应该是由服务端开发者自己决定如何处理的。