当我仔细阅读springweb（5.2.9）的corswebfilter&defaultcorsproccessor的实现时，我注意到从浏览器发送的请求包含了一个未包含在配置的allowedorigins中的源，该请求在过滤器中被拒绝，并且没有传递到过滤器链的其余部分。
我读到的所有关于cors的文章都说：
cors是用来放松sop的，只对浏览器起作用。
cors不是预防csrf的有效方法。
服务器端的这种拒绝请求是否意味着spring偏离了规范？如果是，那么在即将发布的spring版本中依赖这个实现有多安全？
你认为这是预防csrf的有效方法吗？如果我只允许一个特定的来源，那么来自其他来源的请求在corsfilter中总是会被拒绝。