这个问题就像Why are non-custom headers included in Access-Control-Request-Headers?
的后续问题在CORS预检请求期间,Chrome和Safari都会在Origin标头中包含Access-Control-Request-Headers标头。它们忽略了这个标题,因为Origin不需要在相应的Access-Control-Allow-Headers响应头中。虽然CORS规范并未将Origin定义为简单标头,但还有其他标头(例如User-Agent)未定义为简单标头但尚未包含在Access中 - 控制 - 请求 - 头。 Firefox在Access-Control-Request-Headers中不包含Origin标头。
所以我的问题是:为什么Chrome& Safari在Origin中包含Access-Control-Request-Headers标题,特别是因为它没有效果?我的猜测是因为它们都是基于WebKit的,但我正在寻找一个能够更深入地解释为什么存在这种行为的答案。