我有一个HTTP端点,该端点通过我的网站的SDK从多个其他网站(我的网站为withCredentials
)调用。这是用于单点登录/身份验证的目的。
每当我手动检查请求时,我总是会看到其中包含原始标头。
但是,发送的请求中有一些很小但很重要的部分没有原始报头。我无法跟踪其中一个不包含原始标头的请求,我只会收到有关它们命中服务器的通知。
我的理解是浏览器将始终在CORS请求中包含原始标头。为什么某些请求不包含标题?他们是脚本/机器人请求吗?某些浏览器是否不发送原始标头?
如果我的端点允许凭据/来源,我应该如何处理这些请求?只是忽略不包含原始标头的请求?我应该更新我的SDK来发送源,而不是依靠HTTP标头吗?