Biz yerel olarak çalışan bir sunucuya bir AJAX isteği yayınladıklarını için Origin başlığını ekleyerek Krom, yaniaynı kaynak talebi
xhr.open("POST", "http://localhost:9000/context/request");
xhr.addHeader(someCustomHeaders);
xhr.send(someData);
bu javascript da localhost'tan sunulmakta olduğu yürütülmekte olan, sayfa: 9000, Yani bu tamamen aynı bir istek gibi görünüyor.
Ancak, bazı nedenlerden ötürü, Google Chrome, sonuçta oluşan isteğe her zaman bir Kökeni üstbilgisi ayarlar. Böylece, sunucumuzun isteği CORS isteğine bağlı olarak yanlış varsayımı temel alarak engellemesi sağlanır.
Bu, Firefox'ta gerçekleşmez.
Ayrıca, ne Firefox ne de Chrome, OPTIONS ön kontrol isteği göndermiyor; Neden Origin ve Custom üstbilgileri sunucu tarafından izin verildiğinden emin olmak için ilk ön kontrol edilmeden bir Origin üstbilgisi ayarlandı?
Bu durumda neler olup bittiğini bilen var mı? CORS spesifikasyonunu yanlış anlıyor muyuz?
bakınız http://seclab.stanford.edu/websec/csrf/csrf.ppt. Bir CSRF koruma mekanizmasıdır. – user239558