Чарльз прокси заморозить

CORS реализован таким образом, что он не нарушает предположений, сделанных в пре-CORS, мире с единственным источником.

В мире pre-CORS клиент может запускать крест -origin (например, с помощью тега скрипта), но он не смог прочитать заголовки ответов.

Чтобы гарантировать, что CORS не нарушит это предположение, спецификация CORS требует, чтобы сервер выдавал явные разрешения для чтения клиентом этих заголовков (через заголовок Access-Control-Expose-Headers). Таким образом, несанкционированные запросы CORS ведут себя так же, как в мире pre-CORS.