Access-Control-Allow-Origin:凭证标志为true时不允许使用"*",但没有Access-Control-Allow-Credentials标头

突然间,似乎没有改变我的网络应用程序中的任何内容,我在Chrome中打开它时开始出现CORS错误.我尝试添加Access-Control-Allow-Origin: *标题.然后我收到这个错误:

XMLHttpRequest cannot load http://localhost:9091/sockjs-node/info?t= 1449187563637. A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'http://localhost:3010' is therefore not allowed access.

但正如您在下图中看到的那样,没有Access-Control-Allow-Credentials标题.

WTF？Chrome bug？

我的页面被加载,http://localhost:3010该服务器也使用Access-Control-Allow-Origin: *没有问题.如果两个端点都使用它会有问题吗？

"凭证标志"是指XMLHttpRequest.withCredentials正在进行的请求,而不是Access-Control-Allow-Credentials标头. 这是我困惑的根源.

如果请求withCredentials是true,Access-Control-Allow-Origin: *则无法使用,即使没有Access-Control-Allow-Credentials标头.