CORS Access-Control-Max-Age 适用于相同的来源或相同的请求 url

Question

现在我们有一些 CORS 请求（get, range header）

get http://example.com/01.mv (request a1)
get http://example.com/01.mv (request a2)
get http://example.com/02.mv (request b1)
get http://example.com/02.mv (request b2)

在发送请求 a1 之前，浏览器会发送一个 OPTIONS 请求， 我们可以找到Access-Control-Max-Age: 3600作为回应。

这是我的问题：

在请求a2中，会发送一个OPTIONS请求吗？

在请求b1中，会发送一个OPTIONS请求吗？

在请求 b2 中，会发送一个 OPTIONS 请求吗？

Answer 1

简答：浏览器应用Access-Control-Max-Age per-URL，而不是 per-origin。

在请求a2中，会发送一个OPTIONS请求吗？

不，因为由于该 URL 的 Access-Control-Max-Age 标头，浏览器将缓存 CORS 预检的结果但仅限于该 http://example.com/01.mv URL。

在请求b1中，会发送一个OPTIONS请求吗？

是的，因为它用于一个不同的 URL，http://example.com/02.mv。

CORS 协议对每个 URL 而不是每个源进行预检，因此请求 a1 URL 的另一个 Access-Control-Max-Age 的值不适用于不同的 b1 URL。

在请求 b2 中，会发送一个 OPTIONS 请求吗？

不，出于同样的原因，它不会针对请求 a2 发送：由于 Access-Control-Max-Age，浏览器将缓存 http://example.com/02.mv 的 CORS 预检结果。

---

就 CORS 规范在这里定义的相关要求而言，如果您跟踪规范中的步骤，他们会带您到规范中对术语 cache match 的定义：

有一个缓存匹配 对于 request 如果 origin 是 request 的来源，url 是 request 的当前 url...

换句话说，缓存的预检将仅用于请求，如果两者：

1. 请求的来源与缓存预检的来源相匹配
2. 并且请求的 URL 与缓存的预检的 URL 匹配