http 请求中的 origin 到底是大写还是小写

2018-12-13 01:14:36 +08:00
 xingyue

问题起因:

用 node 写接口控制跨域的时候无意发现一个网站的请求头中的 origin 是小写的,而自己的 Origin 是大写的,同样都是 POST 请求。

问题详细:

大写的 Origin

小写的 origin


我目前的认知是:origin 是浏览器在请求过程中自动加入请求头的,是不允许修改的。
但是,为什么都是在 chrome 的屋檐下,会有不同的 origin/Origin


尝试在页面请求中手动修改 Request Headers 中的 origin/Origin,结果符合预期,被浏览器给拦截了

自己的一些测试:

//环境 node10+express4,在请求中打印如下信息
console.log(Object.keys(req.headers));
console.log(`从 req.headers 中直接获取:小写的 origin:${req.headers.origin}-----大写的 Origin:${req.headers.Origin}`);
console.log(`使用 req.set 方法获取:小写的 origin:${req.get('origin')}-----大写的 Orgin:${req.get('Origin')}`);

代码图片貌似更方便看,附上:

控制台对应的输出结果:


在 node 服务端拿到的 header 对象中,origin 的键值就是小写的,使用大写的键 Origin 是取不到值的。但是使用 express 中的 req.set 方法(该方法专门用来获取请求头中的指定值),小写的 origin 和大写的 Origin 都是可以正确获取到 origin 的值,所以说是有着特定的容错(兼容)处理嘛?十分疑惑。


刚入行半年萌新前端一枚,尝试搜索的很多关键字但是并没有找到答案,虽然是个很无聊的小问题但是真的太困扰了,望路过的大佬给指条路,十分感谢
: )

4587 次点击
所在节点    问与答
10 条回复
wly19960911
2018-12-13 01:25:56 +08:00
https://tools.ietf.org/html/rfc7230#section-3.2

case-insensitive

不区分大小写。
weyou
2018-12-13 01:28:48 +08:00
From RFC2616: Each header field consists of a name followed by a colon (":") and the field value. Field names are case-insensitive.
ysc3839
2018-12-13 01:36:44 +08:00
Chrome 里面有不同的 header 可能是 HTTP 版本不同,HTTP 1.x 习惯首字母大写,HTTP/2 可能是为了减小体积全部转换成了小写。
heimeil
2018-12-13 01:40:46 +08:00
https://github.com/expressjs/express/blob/master/lib/request.js#L74

你的两个例子,一个是 HTTP/1.1,一个是 HTTP/2,之前的头风格都是首字母大写然后用中划线分割,好像很多都是 express 这种处理方式,直接全转小写,HTTP/2 发布之后,会对头部进行压缩处理,对大小写敏感了,并推荐全小写,所以就出现了你的这两张对比图。
xingyue
2018-12-13 01:45:12 +08:00
@wly19960911
@weyou
@ysc3839
@heimeil
感谢!我终于可以睡得着觉了!
再次感谢!!!
ysc3839
2018-12-13 01:51:37 +08:00
@heimeil HTTP/2 是必须小写。
https://tools.ietf.org/html/rfc7540#section-8.1.2
> Just as in HTTP/1.x, header field names are strings of ASCII
characters that are compared in a case-insensitive fashion. However,
header field names MUST be converted to lowercase prior to their
encoding in HTTP/2. A request or response containing uppercase
header field names MUST be treated as malformed.
msg7086
2018-12-13 05:53:40 +08:00
你贴的这两个都不是同一个协议来着……
heimeil
2018-12-13 10:01:21 +08:00
@ysc3839 昨天睡前随便看了一下,看错了,应该是减小体积的作用,统一用小写,避免随意大小写产生冗余编码而导致字典过大。
xingyue
2018-12-13 13:11:13 +08:00
@msg7086 说到协议两个字,我平常第一反应就是"http"/"https"/"ftp"等这一类的词,当时也想过会不会是 http 和 https 的区别,但是好巧不巧碰到了 HTTP1.1+SSL 的网站,他的 Origin 也是大写的,然后 chrome 调试台默认是不显示 HTTP 版本的,除非手动点击"view source",所以没想到问题出在 HTTP1.1 和 HTTP2 的差异上,,,主要还是自己太菜了 QAQ
msg7086
2018-12-13 13:45:08 +08:00
@xingyue 嗯。
话说以前 spdy 的时候就已经用小写通信了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/517078

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX