Являются ли эти Headers обязательными — Access-Control-Allow-Headers?

Question

[Вадим]

Разбираюсь с CORS - preflight requests: OPTIONS вернул, скажем следующее

Access-Control-Allow-Headers: "'Content-Type,Authorisation,My-Api-Key,RestricteduserID'"

если последующие запросы к серверу, наприме GET на какой-то ресурс, - не будут содержать все эти Headers, получится ли ошибка cors error? Или эти Headers являются просто рекомендуемыми?

Answer 1

[Dmitriy Grape]

Сервер возвращает вам разрешённые заголовки запроса, вы можете их не указывать вовсе или указать их все сразу, но вот если вы в запрос добавите заголовок, который сервер не разрешает, например какой-нибудь not-allowed-header, то сервер ваш запрос не примет.

Comments

[Вадим]

А. not-allowed-header - разве такое в cors существует!?

Б. Можете пожалуйста разьяснить как идет поток информации

1. Сначалы фронтэнд делает preflight/OPTIONS request к какому-то api, кот находится на др домене - например
2. OPTIONS response от сервера содержит заголовок Access-Control-Allow-Headers: "'Content-Type,Authorisation,My-Api-Key,RestricteduserID'"
3. Фронтэнд посылает запрос GET к этому api .... а что если в запросе GET в request headers не будет My-Api-Key HEADER - будет ошибка cors? Или эти headers просто рекомендуемые, а логика api сама определит их необходимость?

[Aetae]

Вадим, как следует из названия allowed - это те хэдеры которые разрешено указывать. Не указывать - можно. Указывать другие нестандартные - нельзя.

[Dmitriy Grape]

Вадим,
А) Причём тут CORS? Все заголовки CORS отправляются с сервера, какие конкретно, читайте в документации к CORS. Тот заголовок который прислал я отправляется в запросе, а дальше сервер смотрит, разрешён ли такой заголовок запроса.

Б) Access-Controll-Allow-Headers определяет разрешённые заголовки, а не обязательные, он бы тогда назывался как-нибудь типа Access-Controll-Required-Headers, если бы его целью было задать обязательные заголовки.

[Вадим]

Aetae, Rag’n’ Code Man,

ясно, значит кроме Allowed headers я могу указывать в запросе GET и другие заголовки, но только стандартные !

[Aetae]

Вадим,

но только стандартные

Если точнее: https://developer.mozilla.org/en-US/docs/Glossary/...