该 产地 头
什么时候添加此标头?
在标题阶段,发送文档正文
open之前(after ,before
send)。
当浏览器(支持CORS)发出请求时,是否添加了它?(跨域还是非跨域?)
当原点与创建 XMLHttpRequest 的页面不匹配时添加,但也可以在同源请求中发送。
还是在浏览器“看到”请求目标来源不同于当前来源时自动添加?
是。
但是,浏览器将始终在必要时发送所需的Origin标头。
这是 XMLHttpRequest 规范的一部分;如果您要进行跨域请求,则在请求标头中会发送一个额外的标头。例如
Origin:http://www.stackoverflow.com,此标头由标准遵循的浏览器附加,并且无需用户交互即可添加。
你可以阅读更多关于规范 MozillaWiki的安全部分
, WHATWG
和html5.org。它是由(我知道)FireFox和Google
Chrome实现的。我不认为它是W3C的一部分。此外 ,不要假设origin标头为true ,因为可以通过修改后的浏览器或其他软件手动设置它。
