Je teste des cors sur un site Web et une requête d'options renvoie toujours 200 même si l'origine de la demande n'est pas autorisée. Si l'origine n'est pas autorisée, ils n'ajoutent simplement pas les en-têtes. Est-ce que cela correspond à la spécification? Cela me semble étrange.OPTIONS renvoie toujours 200
Oui, cela est prévu et acceptable selon les spécifications. Une réponse non-200 peut et doit être renvoyée lorsqu'une erreur de réseau ou de serveur se produit. En l'absence d'erreur de serveur ou de réseau, les en-têtes de réponse doivent indiquer les origines et les méthodes autorisées. Si votre origine, par exemple, ne figure pas parmi celles présentes dans l'en-tête ACAO de la réponse, l'agent utilisateur abandonne et n'envoie pas la requête d'origine.