Ho creato una richiesta di cross-origine XHR da un file html, ospitato su un semplice HTTP Server python.
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://www.facebook.com/favicon.ico", true);
xhr.withCredentials = true;
xhr.onload = function () {
console.log(xhr.responseText);
};
xhr.send();
Apro Strumenti per sviluppatori di Chrome e guardo le richieste tramite la scheda Rete . Nella scheda Rete vedo una singola richiesta diretta fatta al server "facebook.com".
Icomportamentichehotrovatoinsolitierano:
SperavodivedereunarichiestadipreflightprimachelarichiestaXHRdirettafossefatto,secondoladocumentazionemenzionataqui:
link -
La richiesta ha ricevuto un codice di stato: * 200 ** che è insolito. SOP dovrebbe blocca questo tipo di richiesta poiché si tratta di una richiesta interdominio.
Tuttavia, nella scheda Console di Strumenti per sviluppatori di Chrome , vedo il comportamento previsto: