302 重定向后的 AJAX 调用将源设置为 null

【问题标题】:AJAX call following 302 redirect sets origin to null302 重定向后的 AJAX 调用将源设置为 null
【发布时间】:2015-07-23 12:04:08
【问题描述】:

我正在从域 A 到域 B 进行 AJAX 调用。

我的域 B 检查 A 是否在允许的域列表中,并将 Access-Control-allow-Origin 设置为域 A。到目前为止,一切顺利。

域 B 通过使用 Location 标头向域 C 发送 302 重定向来响应请求。

AJAX 调用遵循重定向到域 C,但具有标头:Origin: null

我希望 origin 标头在重定向之后设置为域 A。

谁能向我解释为什么源设置为null 而不是域A?

示例

  1. 从域 A 到 B 的请求

    GET / HTTP/1.1
Host: domain-B.com
Origin: http://domain-A.com

  2. 来自域 B 的响应:

    Access-Control-Allow-Origin: http://domain-A.com
Location: http://domain-C.com

  3. AJAX 调用遵循重定向到域 C:

    GET  HTTP/ 1.1
Host: domain-C.com
Origin: null

【问题讨论】:

标签: ajax http redirect cross-domain cors


【解决方案1】:

看这里,这似乎表明它与“隐私敏感”上下文有关。

Are there any browsers that set the origin header to "null" for privacy-sensitive contexts?

【讨论】:

    【解决方案2】:

    我在域 A 上设置了 Access-Control-Allow-Origin: null 并且有效。

    【讨论】:

    • 哇。这违背了 CORS 的目的,并且非常不安全。请不要这样做。
    • 如果你无条件地这样做,那么它们都很糟糕。如果要支持 null 来源,则需要专门返回 null,如果要支持任何来源,但不支持 null 来源,则通配符将起作用。最好先检查来源/引荐来源。
    猜你喜欢
    • 2021-01-05
    • 2012-11-06
    • 1970-01-01
    • 1970-01-01
    • 2018-10-10
    • 1970-01-01
    • 2012-06-25
    • 2018-03-30
    • 2011-09-09
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode