У меня есть сервер Flask, который принимает запросы от chrome расширения, которое я написал. Я пытаюсь ограничить CORS сервера, чтобы он разрешал запросы только с определенного URL. Chrome отправит запрос на сервер с источником, установленным из моего расширения chrome, и мой сервер ответит заголовком Access-Control-Allow-Origin, который отрицает источник, но по какой-то причине запрос все еще успешен. Насколько я понимаю, если источник запроса отсутствует в списке Response Access-Control-Allow-Origin, запрос должен завершиться ошибкой. Вот снимок запроса в сетевой консоли chrome. Заголовок ответа должен отклонять запрос.
Вот сетевой запрос
Я попытался использовать Flask -Cors, чтобы также отклонить источник, используя cors = CORS(app, resources={r"/*": {"origins": "chrome-extension://badorigin"}}) но запрос все равно выполняется. Мне интересно, что еще я могу сделать, чтобы ограничить API для отклонения запросов, которые я не разрешаю явно. У меня создалось впечатление, что установка заголовка Access-Control-Allow-Origin приведет к сбою запросов, которые не соответствуют источнику, но, похоже, это не так. Чтобы было ясно, я пытаюсь сделать запрос неудачным, потому что я явно не разрешил источник. Я понимаю, что серверы просто отправляют заголовок, у меня вопрос, почему Chrome разрешает ему go через?