CORS的一个反复出现的问题是规范规定请求头从预检请求(HTTP OPTIONS)中被剥离。 但是,如果服务器需要身份validation,这意味着预检请求将失败(因为Authorization标头未包括在内),并且将无法接收所需的access-control-allow-origin标头。
唯一的出路似乎是将服务器configuration为不强制对HTTP OPTIONS请求进行身份validation。 有没有办法在Apache 2.4,我可以Require valid-user有条件的HTTP方法?
您可以通过使用Limit/LimitExcept来Limit/LimitExcept Require valid-user的范围:
<LimitExcept OPTIONS> Require valid-user </LimitExcept>
请参阅限制的Apache文档