根据https://fetch.spec.whatwg.org/#origin-header:
Origin
标头是Referer
标头的一个版本,不显示路径。它用于请求的响应污染为“ cors”的所有HTTP提取,以及请求的方法既不是GET
也不是HEAD
的HTTP提取。由于兼容性方面的限制,并未将其包含在所有提取中。
据我了解,特别是Origin
头应该与任何相同来源的请求一起发送,除了GET
和HEAD
方法之外。 Origin
标头在这种同源情况下如何有用?为何对GET
和HEAD
方法进行例外处理?
答案 0 :(得分:1)
它可以帮助缓解CSRF。因此,您知道自己的网站进行了POST。将Origin
用作CSRF缓解措施是事后的想法,并且由于已将其部署以供CORS使用,因此,至少在为GET
添加服务器时,有些服务器感到困惑,这就是为什么它不包含在其中。