CORS 和 Origin 标头？

Question

当我们需要调用 Ajax 请求时：

if(typeof XMLHttpRequest !== 'undefined') xhr = new XMLHttpRequest();
else
{
    var versions = ["Microsoft.XmlHttp",
            "MSXML2.XmlHttp",
            "MSXML2.XmlHttp.3.0",
            "MSXML2.XmlHttp.4.0",
            "MSXML2.XmlHttp.5.0"
    ];

我已经知道使用XMLHttpRequest-2，我们可以进行跨域请求AND添加ORIGIN标头。

问题：

• 什么时候添加了这个标题？

  • 是否在浏览器（支持 CORS）执行请求时添加？ （跨域还是非跨域？）
  • 还是在浏览器“看到”请求目标来源与当前来源不同时自动添加...

我的意思是：He** 是什么意思？

跨域 HTTP 请求有一个 Origin 标头。这个标题 向服务器提供请求的来源。这个标题是 受浏览器保护，不能从应用程序代码中更改。 本质上，它是找到的原始属性的网络等价物 关于跨文档消息传递中使用的消息事件。原始标头 与较旧的referer [sic] 标头的不同之处在于，referer 是一个 完整的 URL，包括路径。因为路径可能包含 敏感信息，浏览器有时不会发送引用 试图保护用户隐私。 但是，浏览器将始终 必要时发送所需的 Origin 标头。

Answer 1

Origin 标头

何时添加此标头？

在标头阶段，文档正文发送之前（open 之后，send 之前）。

它是在浏览器（支持 CORS）发出请求时添加的吗？ （跨域还是非跨域？）

当源与创建XMLHttpRequest的页面不匹配时添加，但也可以在同源请求中发送。

或者当浏览器“看到”请求目标来源与当前来源不同时是否自动添加...

是的。

但是，浏览器总是会在必要时发送所需的 Origin 标头。

这是 XMLHttpRequest 规范的一部分；如果您正在发出跨域请求，则会在请求标头中发送一个额外的标头。这个标题是例如Origin: http://www.stackoverflow.com 并由遵循标准的浏览器附加，无需用户交互。

---

您可以在MozillaWiki's Security section、WHATWG 和html5.org 中阅读有关规范的更多信息。它是由（据我所知）FireFox 和 Google Chrome 实现的。我不相信它是 W3C 的一部分。此外不要假设源头是真的，因为它可以通过修改后的浏览器或其他软件手动设置。

Answer 2

当您进行跨域请求时（通常）会自动添加源头。

为了测试它，我在此页面上打开了控制台并发出了两个不同的请求：一个用于另一个域，一个用于“/”，而第一个请求添加了原始标头。

顺便说一句，我正在使用 JQuery，我真的建议你也使用它，以便跨浏览器具有相同的行为。

有关该主题的补充信息，请查看：

首先要注意的是，一个有效的 CORS 请求总是包含 一个 Origin 标头。这个 Origin 头是浏览器添加的，可以 不受用户控制。这个头的值就是scheme （例如 http）、域（例如 bob.com）和端口（仅当它是 不是默认端口，例如81) 请求的来源；为了 例如：http://api.alice.com。

Origin 标头的存在并不一定意味着 request 是一个跨域请求。虽然所有跨域请求 将包含一个 Origin 标头，一些同源请求可能有 一个也是。例如，Firefox 不包含 Origin 标头 同源请求。但是 Chrome 和 Safari 包含一个 Origin 标头 在同源 POST/PUT/DELETE 请求上（同源 GET 请求将 没有 Origin 标头）。

Source