我遇到了CORS和升级不安全请求标头的问题。我正在尝试为我的项目提供CORS支持。此外,我已设置“x-frame-options:same-origin”的最小限制,以便任何尝试构建我的应用程序而不提出CORS请求的客户端/客户将无法这样做。
为了测试它,我有一个测试页面,它发出CORS请求并将我的应用程序加载到iframe中。现在,当我尝试浏览我的应用程序时,通过单击选项卡,新页面无法加载,并且可以看到浏览器抛出“同源”策略错误。
分析网络流量,显示当单击选项卡时,首先发出一个“http”请求,其中upgrade-insecure作为标题之一。然后响应只有“http”的位置标题(不是https,因为我的应用程序还没有处理此标题)。当浏览器重定向到位置标题中的页面时,请求中不存在CORS标题(“origin”),然后浏览器会看到同源策略,因此iframe无法加载页面。
我遇到了一个mozilla问题,该问题提到升级不安全标头的存在将阻止CORS。但我没有通过网络服务器或使用元数据在我的应用程序中的任何位置启用此标头。然后浏览器如何添加此标头?我一直在考虑禁用这个标题,但直到现在还没有成功。
我一直在关注https://www.w3.org/TR/upgrade-insecure-requests/#upgrade-request此页面,以了解此标头的添加方式。
第3阶段:升级不安全的资源请求“环境设置对象和浏览上下文被赋予不安全的请求策略,该策略具有两个潜在值:不升级和升级。除非另有指定,否则设置为”不升级“。
提到默认策略是“不升级”。但我不确定这个标题是如何存在的呢? 总之,请你帮我禁用这个标题。