如何在 Javascript 中检测 XMLHttpRequest() 的跨源 (CORS) 错误与其他类型的错误

我试图检测 XMLHttpRequest() 何时由于跨源错误而不是错误请求而失败。例如：

    ajaxObj=new XMLHttpRequest()
    ajaxObj.open("GET", url, true); 
    ajaxObj.send(null);

考虑 url 的 4 种情况：

Case 1:url 是正确设置 access-control-allow-origin 的有效地址

• 例子：http://192.168.8.35我有一台服务器Access-Control-Allow-Origin: *在标题中设置
• 这很容易检测为 ajaxObj.readyState==4 和 ajaxObj.status==200

Case 2:url 是现有服务器上的无效地址

• 例子：http://xyz.google.com服务器响应但不是有效请求的地方
• 这导致 ajaxObj.readyState==4 和 ajaxObj.status==0

Case 3:url 指向不存在的服务器 IP 地址

• 例子：http://192.168.8.6在我的本地网络上没有任何响应
• 这导致 ajaxObj.readyState==4 和 ajaxObj.status==0

Case 4:url 是有效地址，其中 access-control-allow-origin 是NOT set

• 例子：http://192.168.8.247我在哪里有服务器without Access-Control-Allow-Origin: *在标题中设置
• 这导致 ajaxObj.readyState==4 和 ajaxObj.status==0

问题是：如何区分情况 4（访问控制允许来源错误）和情况 2&3？

在情况 4 中，Chrome 调试控制台显示错误：

XMLHttpRequest cannot load http://192.168.8.247/. Origin http://localhost is not allowed by Access-Control-Allow-Origin.

如何让 Javascript 知道该错误？

我试图找到一些迹象ajaxObj但与案例 2 和案例 3 相比，似乎没有什么不同。

这是我使用的一个简单测试：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>CORS Test</title>
<script type="text/javascript">
function PgBoot()
{
//  doCORS("http://192.168.8.35");   // Case 1
//  doCORS("http://xyz.google.com"); // Case 2
    doCORS("http://192.168.8.6");    // Case 3
//  doCORS("http://192.168.8.247");  // Case 4
}

function doCORS(url)
{
    document.getElementById("statusDiv").innerHTML+="Processing url="+url+"<br>";
    var ajaxObj=new XMLHttpRequest();
    ajaxObj.overrideMimeType('text/xml');
    ajaxObj.onreadystatechange = function()
    {
        var stat=document.getElementById("statusDiv");
        stat.innerHTML+="readyState="+ajaxObj.readyState;
        if(ajaxObj.readyState==4)
            stat.innerHTML+=", status="+ajaxObj.status;
        stat.innerHTML+="<br>";
    }
    ajaxObj.open("GET", url, true); 
    ajaxObj.send(null);
}
</script>
</head>
<body onload="PgBoot()">
<div id="statusDiv"></div>
</body>
</html>

使用 Chrome 的结果：

Processing url=http://192.168.8.35
readyState=1
readyState=2
readyState=3
readyState=4, status=200

Processing url=http://xyz.google.com
readyState=1
readyState=4, status=0

Processing url=http://192.168.8.6
readyState=1
readyState=4, status=0

Processing url=http://192.168.8.247
readyState=1
readyState=4, status=0

不，根据 W3C 规范，没有办法区分两者。

以下是 CORS 规范的指定方式简单的跨域请求 http://www.w3.org/TR/cors/#simple-cross-origin-request程序：

应用发出请求步骤并在发出请求时遵守以下请求规则。

如果未设置手动重定向标志并且响应的 HTTP 状态代码为 301、302、303、307 或 308：应用重定向步骤。

如果最终用户取消请求：应用中止步骤。

如果出现网络错误：如果出现 DNS 错误、TLS 协商失败或其他类型的网络错误，应用网络错误步骤。不请求任何类型的最终用户交互...

否则：执行资源共享检查。如果返回失败，则应用网络错误步骤...

如果网络连接失败或 CORS 交换失败，网络错误步骤 http://www.w3.org/TR/cors/#network-error-steps应用，因此实际上无法区分这两种情况。

为什么？好处之一是它可以防止攻击者检查 LAN 的网络拓扑。例如，恶意网页脚本可以通过请求路由器的 HTTP 接口来找到路由器的 IP 地址，从而了解有关您的网络拓扑的一些信息（例如，您的私有 IP 块有多大、/8 or /16）。由于您的路由器不会（或不应）发送 CORS 标头，因此该脚本绝对不会学到任何东西。