Question

我们正在向本地运行的服务器发布一个AJAX请求，即

xhr.open("POST", "http://localhost:9000/context/request");
xhr.addHeader(someCustomHeaders);
xhr.send(someData);

正在执行此javascript的页面也是从localhost：9000提供的，即这看起来像是一个同源请求。

但是，出于某种原因，Google Chrome总是在生成的请求中设置一个Origin标头，导致我们的服务器根据它的CORS请求的错误假设来阻止请求。

在Firefox中不会发生这种情况。

此外，Firefox和Chrome都没有发送OPTIONS预检请求，这令人困惑;为什么在没有先预检的情况下设置Origin标头以确保服务器允许Origin和Custom标头？

有谁知道这种情况发生了什么？我们是否误解了CORS规范？

Answer 1

Chrome和Safari在同源POST / PUT / DELETE请求中包含Origin标头（同源GET请求不具有Origin标头）。 Firefox在同源请求中不包含Origin标头。浏览器不期望同源请求上的CORS响应头，因此对同源请求的响应将发送给用户，无论它是否具有CORS头。

我建议检查Host标头，如果它与Origin标头中的域匹配，请不要将请求视为CORS。标题看起来像这样：

Host: example.com
Origin: http://example.com

请注意，Origin将具有方案（http / https），域和端口，而Host将只有域和端口。

Answer 2

根据 RFC 6454 - 网络原始概念 - 对于任何HTTP请求，包括同源请求，Origin的存在实际上是合法的：

“用户代理可以在任何HTTP中包含Origin头字段请求“。