这想法有点危险，很多糟糕的事情都是当事人觉得「之前的储蓄理应可以承受挥霍一下」，比如传统家庭中的婆媳问题

@ligolas #44 讨论也加深了我对这块的理解。不过还是有点问题，跨域不是指**网页**和**脚本**在不同的域下，不同来源的脚本只要加载到页面里，有一致的完整的权限

跨域指**网页**和脚本访问的另一个**网页**是不是在同一个域下，当跨域时，受 CORS 的策略的管理

你们这么搞汉字是无法国际化的，多音归并，生僻废除才是出路

上面的网站有中文版
https://zh.javascript.info/constructor-new

@mikeven #8 苹果只会把两款芯片的性能下调到一致，上一次就是这么做的

----------------------------------
2016 年 9 月，iPhone 7 系列发布，它在基带上有两个版本，分别是高通的 MDM9645 （手机型号为 A1660 和 A1661 ） 和 Intel 的 XMM 7360 （手机型号为 A1778 和 A1784 ）。

然而，根据相关的信号测试，高通基带版 iPhone 7 的表现比英特尔基带版好 30%。而且在信号比较弱的情况下，高通基带版更是比英特尔基带版好 75%。尽管如此，苹果还是坚持选用 Intel 的产品，不仅如此，苹果还故意限制高通基带的网速来避免用户的使用差异。
----------------------------------
https://www.leiphone.com/news/201904/yaCZlRr7EtG5VdEN.html

@ligolas #41 我觉得您可能认为 CORS 会同时作用于同域和跨域，并认为 CORS 是浏览器权限控制的全部内容，事实就如其名字，仅仅用来管理跨域访问

对于同域消息头的访问，有这几个概念
https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name
这部分描述了哪些**请求**消息头是不能被脚本**修改**的

https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_response_header_name
这部分描述了哪些**响应**消息头是不能被脚本**修改**的

https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/getAllResponseHeaders
这是与本文最相关的部分，描述了同域状态下，哪些消息头是不能被脚本**读取**的

事实上只有 Set-Cookie 和 Set-Cookie2 两个字段禁止读取，并不包含 Date

这里有一篇文章有比较详细的讲解
https://segmentfault.com/a/1190000004322487

@ligolas #39 我读了文章，试着理解一下

1. 当 A 站 的前端跨域访问 B 站的页面时，因为同源限制，读取的内容会被浏览器抛弃掉；
2. 此时，如果 B 站的后端确认这些内容不是用户的机密，可以配置一个 CORS 标志，使得 A 站的前端可以读取这个内容；
3. 文章说的是，即便配置了 CORS 标志，有些消息头仍然没有全部暴露给 A 站，这个过程会经历一个过滤器；
4. 这个过滤器默认放行文章所述的 6 种消息头；以及，这个放行策略可以由 B 站进行扩充

那么，回到问题，题主现在是 A 站的前端，需要从 A 站的响应里读取消息头，整个过程不需要跨域，所以不需要配置 CORS，自然更不需要管理 CORS-safelisted_response_header

库的作者可能是为了最大化兼容性，普通开发者可能是懒得学习，两种情况不应混淆

@ligolas #34 CORS 是 Cross-origin resource sharing，这里根本就不 Cross-origin，不受这个限制

Firefox 里降到 1% 了，说明前端代码是没问题的。可能是你的某些扩展或者油猴的监听机制有问题，很多开发者并不了解事件驱动机制，周期轮询一把梭，代码质量不高

@ligolas #10 自己的服务器，自己的前端，不需要 CORS 就可以读 headers

@yunyuyuan #1 巨硬一直是 Mac 优秀开发者，Linux Kernel 活跃贡献者