Chrome ajoutant l'en-tête Origin à la même demande d'origine

Nous sommes Poster une requête AJAX vers un serveur qui exécute localement, c'est à dire

xhr.open("POST", "http://localhost:9000/context/request");
xhr.addHeader(someCustomHeaders);
xhr.send(someData);

La page que ce javascript est en cours d'exécution est également servi à partir de localhost:9000, c'est à dire ce totalement ressemble à une même requête d'origine.

Cependant, pour une raison quelconque, Google Chrome définit toujours un en-tête d'Origine dans la demande, à l'origine de nos serveur pour bloquer la demande fondée sur l'hypothèse erronée que c'est de la SCRO demande.

Cela ne se produit pas dans Firefox.

Aussi, ni Firefox ni Chrome sont l'envoi d'une demande de contrôle en amont, ce qui est source de confusion; pourquoi créer un en-tête d'Origine sans d'abord le contrôle en amont pour s'assurer de l'Origine et, en-têtes Personnalisés sont autorisées par le serveur?

Personne ne sait ce qui se passe dans ce cas? Sommes-nous de l'incompréhension de la SCRO spec?

source d'informationauteur jan groth | 2013-03-19

  1. 24

    Chrome et Safari incluent un Origin en-tête d'origine POST/PUT/DELETE demandes (de même origine des demandes ne sera pas avoir un en-tête d'Origine). Firefox ne disposent pas d'un Origin en-tête sur l'origine des demandes. Les navigateurs ne pas s'attendre à de la SCRO en-têtes de réponse sur l'origine des demandes, de sorte que la réponse à une requête d'origine est envoyé à l'utilisateur, indépendamment de si elle a la SCRO en-têtes ou pas.

    Je voudrais vous recommandons de vérifier les Host en-tête, et si elle correspond au domaine de la Origin en-tête, de ne pas traiter la demande comme de la SCRO. Les en-têtes de ressembler à quelque chose comme ceci:

    Host: example.com
Origin: http://example.com

    Noter que Origin aura le schéma (http/https), le domaine et le port, tandis que Host aura seulement le domaine et le port.

  2. 14

    Selon RFC 6454 - Le Web à l'Origine du Concept - la présence de l'Origine est effectivement légal pour toute requête HTTP, y compris même les requêtes d'origine:

    http://tools.ietf.org/html/rfc6454#section-7.3

    "L'agent utilisateur PEUT inclure un en-tête d'Origine de terrain dans toute HTTP
    demande."