在这个问题CORS and Origin header?(及其答案)中,多次声明在执行CORS请求时始终发送原始标头,暗示在执行相同操作时并不总是发送它们 - 原产地要求。根据经验,似乎firefox不会发送带有同源请求的orign标头,但是IE和chrome会这样做。但是,没有任何引用任何指定这种情况的地方。
我可以找到关于原始标头的最权威的参考文献https://wiki.mozilla.org/Security/Origin,此处为https://tools.ietf.org/html/rfc6454,此处为https://tools.ietf.org/id/draft-abarth-origin-03.html。这些都没有提到同源和跨源请求之间的行为差异。在mozilla中,在“当提供原点”一节中,我似乎很清楚原始标题应始终发送给XHR。
有人能指出我指定同源和跨源请求的原始标题行为的差异在哪里?