CORS 会阻止浏览器访问 URL 吗？答案

【问题标题】：Will CORS prevent a browser accessing an URL?CORS 会阻止浏览器访问 URL 吗？
【发布时间】：2021-09-19 07:20:03
【问题描述】：

如果在我的 .NET 核心应用程序上激活 CORS，那么用户是否能够通过在自己的浏览器中输入 URL 来访问端点（例如 https://example.com/api/Account/ExternalLogin?client_id）？还是 CORS 只阻止 javascript 发出请求？

【问题讨论】：

CORS 仅阻止 javascript 请求。
更多关于CORS的信息可以查看这篇文章：developer.mozilla.org/en-US/docs/Web/HTTP/CORS
CORS 协议仅由浏览器强制执行。它不是由服务器强制执行的。如果请求中缺少任何 CORS 详细信息，服务器不会以某种方式阻止请求或拒绝发送响应。说明：docs.microsoft.com/en-us/aspnet/core/security/…

【解决方案1】：

CORS 是一种在浏览器而非服务器中强制执行的机制。服务器可以向浏览器指示应该允许什么，但最终由浏览器来强制执行。因此，无论 CORS 是什么，服务器都应该始终对每个请求进行身份验证和授权。

要回答您的具体问题，是的，任何客户端都可以尝试访问您服务器上的任何端点。在某些情况下，只有合作浏览器会阻止这种情况。无论 CORS 是什么，都可以直接通过地址栏请求 URL。

【讨论】：