Ajax请求:拒绝设置不安全的标头

时间:2015-10-15 08:42:00

标签: javascript ajax user-agent http-referer

我正在尝试使用Google Text-To-Speech播放音频。因此,我需要在Referer和User-Agent正确设置的情况下向其端点发布请求。这个电话应该返回我可以播放的MP3。

然而,我得到了#34;拒绝设置不安全的标题"错误。这是我的代码。我该怎么办?

          $.ajax({
            url: 'http://translate.google.com/translate_tts?ie=UTF-8&q=Hello&tl=en&client=t',
            beforeSend: function(xhr) {
                 xhr.setRequestHeader("Referer", "http://translate.google.com/");
                 xhr.setRequestHeader("User-Agent", "stagefright/1.2 (Linux;Android 5.0)");
            }, success: function(data){
                el.mp3 = new Audio(data);
                el.mp3.play();
            }
          });

4 个答案:

答案 0 :(得分:24)

你做不到。这是不可能的。

如果您尝试设置这些标头,则specification要求浏览器中止setRequestHeader方法。

如果您需要设置这些标题,则需要从服务器而不是访问者的浏览器发出请求。

(也就是说,如果您需要欺骗用户代理或引用者,那么您可能正试图以其所有者不想要的方式使用该服务,因此您应该尊重并停止尝试)。

同时选中“Fetch forbidden header names”。

答案 1 :(得分:0)

是的,听起来合理的是浏览器不允许这样做,但是我想知道当从不使用浏览器的移动应用程序完成请求时是否可以更改User-Agent标头。我不知道Native Mobile Http API是否允许这样做。

也许与使用服务器上运行的Http客户端进行更改相同。 您曾经尝试过吗?

答案 2 :(得分:-1)

清空 OriginReferer 标头,GET XMLHttpRequest 来自 <iframe>

实际上,它是可能的;至少对于普通网页而言。 诀窍在于 injectingXMLHttpRequest 函数变成一个空的 <iframe>。 空 <iframe> happens to be about://blank 的来源,导致空 OriginReferer HTTP 标头。

HTML:

<iframe id="iframe"></iframe>

JavaScript:

const iframe    = document.getElementById('iframe');
const iframeWin = iframe.contentWindow || iframe;
const iframeDoc = iframe.contentDocument || iframeWin.document;

let script = iframeDoc.createElement('SCRIPT');

script.append(`function sendWithoutOrigin(url) {
    var request = new XMLHttpRequest();

    request.open('GET', url);

    request.onreadystatechange = function() {
        if(request.readyState === XMLHttpRequest.DONE) {
            if(request.status === 200) {
                console.log('GET succeeded.');
            }
            else {
                console.warn('GET failed.');
            }
        }
    }
    request.send();
}`);

iframeDoc.documentElement.appendChild(script);

JavaScript 唤起:

var url  = 'https://api.serivce.net/';
    url += '?api_key=' + api_write_key;
    url += '&field1=' + value;

iframeWin.sendWithoutOrigin(url);

在使用第三方 API 服务时,可以发送空的 OriginReferer HTTP 标头对于保护隐私很重要。在某些情况下,原始域名可能会泄露敏感的个人信息;例如暗示某种疾病。从 https://hypochondriasis-support.org :-D

的角度考虑

通过检查 .har 文件中的请求对代码进行了测试,该文件保存在 Vivaldi 中 F12 开发人员视图中的 Network 选项卡中。

未尝试设置 User-Agent 标头。如果这也有效,请发表评论。

答案 3 :(得分:-6)

你不能。这是不可能的。

如果您尝试设置标准请求标头,则规范要求浏览器中止setRequestHeader方法。

您可以设置自定义标头来满足您的请求。