允许任何 CORS 来源 (*) 时是否应该设置“Vary: Origin”?

【问题标题】:Should you set 'Vary: Origin' when allowing any CORS origin (*)?允许任何 CORS 来源 (*) 时是否应该设置“Vary: Origin”?
【发布时间】:2020-05-10 06:40:56
【问题描述】:

对于支持 CORS 并希望尽可能高效地处理缓存的服务器,如果您知道 CORS 响应永远不会根据通过 Access-Control-Allow-Origin: * 的请求来源而有所不同,是否有必要设置 Vary: Origin

我已经阅读了有关该主题的几本指南,大多数人建议使用Vary: Origin,但在明确允许任何来源的常见 CORS 情况下,这似乎效率低下且不必要。

谢谢!

【问题讨论】:

  • 我建议阅读 fetch.spec.whatwg.org/#cors-protocol-and-http-caches 的整个规范部分 “如果 CORS 协议要求比将 Access-Control-Allow-Origin 设置为 * 或静态来源更复杂,Vary 将是使用过……但是,如果 Access-Control-Allow-Origin 设置为 * 或特定资源的静态来源,则将服务器配置为始终发送 Access-Control-Allow-Origin 以响应资源 - 对于非 CORS 请求以及 CORS 请求 -并且不要使用Vary。”

标签: http caching http-headers cors cdn


【解决方案1】:

如果您的响应根据Origin 标头而改变,那么您需要将其从Vary 中删除。

Vary 专门用于改变响应的标头。

例如,如果您的客户端可以使用Accept 请求标头,并且根据值服务器可能返回不同的数据,那么您需要Vary: Accept

【讨论】:

  • 是的,我完全理解 Vary 的含义——这个问题是关于特定的 CORS 用例,我发现的每个 CDN 文档都建议无论如何设置,无论您的服务器逻辑是否随尊重Origin
  • 虽然我真的很感谢你的回答?
  • @fisch2 无论您描述的情况如何,我的回答仍然 100% 适用。这不是特例。
猜你喜欢
  • 2014-10-09
  • 2018-01-14
  • 1970-01-01
  • 2015-05-25
  • 2012-11-04
  • 2021-04-28
  • 1970-01-01
  • 2015-10-22
  • 2019-10-10
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode