CORS Preflight 响应包括 Vary:Origin 和 Access-Control-Max-Age？

Question

我想知道浏览器如何处理包含 Vary: Origin 和 Access-Control-Max-Age 标头的 CORS Preflight 响应。

此声明来自https://www.w3.org/TR/cors/

希望能够与多个人共享的资源 出处但不统一回应“*”必须在实践中 动态生成 Access-Control-Allow-Origin 标头 响应他们希望允许的每个请求。作为结果， 此类资源的作者应发送 Vary: Origin HTTP 标头或 提供其他适当的控制指令来防止缓存 此类响应，如果跨域重复使用可能会不准确

从这个声明中我了解到 Vary: Origin 会告诉浏览器阻止预检响应的缓存（如果允许来源：* 未使用）

Access-Control-Max-Age 将告诉浏览器将预检响应缓存一段时间。

问题：

1. 如果两个标头都存在于预检响应中，是否有效？

2. 如果响应包含两个标头，浏览器如何处理 Preflight 响应？

谢谢！

Answer 1

根据规范要求，Vary: Origin 不会影响CORS-preflight cache 的行为。

如果两个标头都存在于预检响应中，是否有效？

是的，它是有效的。但是，如果存在 Vary 标头，则它不会影响 CORS 预检缓存。

如果响应包含两个标头，浏览器如何处理 Preflight 响应

对于 CORS 预检缓存，浏览器完全忽略 Vary 标头，只使用 Access-Control-Max-Age 标头的值。

我的理解是 Vary: Origin 会告诉浏览器不会缓存预检结果

这不是 Fetch 规范中的要求。

CORS-preflight cache 不是 HTTP 规范中要求涵盖的通用 HTTP 缓存。这是一个特殊的缓存，其行为由 Fetch 规范专门定义。而且 Fetch 规范没有说明任何要求（甚至是间接要求）关于 CORS 预检缓存的行为完全受 Vary 响应标头的影响。

改为the Fetch spec says just this:

令 max-age 为在给定Access-Control-Max-Age 和 response 的标题列表的情况下提取标题列表值的结果。

这并没有说明在设置 max-age 之前检查 Vary 标头值。

而且由于规范没有明确说明在决定是否填充 CORS 预检缓存时是否/如何使用Vary，因此浏览器不得在执行此操作时使用Vary。

如果浏览器在处理 CORS 预检缓存时确实使用了 Vary，那么该浏览器将不符合 CORS 预检缓存的规范要求。