SEC-FETCH-MODE navigate
SEC-FETCH-SITE cross-site
SEC-FETCH-USER ?1
UPGRADE-INSECURE-REQUESTS 1
特别是我想知道 SEC-FETCH-USER ?1 是什么意思。无法理解这里可能的值 - https://www.w3.org/TR/fetch-metadata/#sec-fetch-user-header
谢谢
表示
之间的关系(1) 请求发起者的来源和
(2)请求资源的来源(托管资源的服务器)
• 同源:1,2 具有相同的方案、主机、端口
• 同一站点:1,2 具有相同的方案、域/子域
• 跨站点:如果方案不同或域/子域不同或两者都相同
• 无
Sec-Fetch-Mode 表示请求的模式,所以与 request-origin 和 request-resource-destination 的关系无关
它只关注请求和工作,它关注的是:
区分:
• 源自用户在 HTML 页面之间导航的请求以及
• 请求加载图像和其他资源。
••••••1••••••秒获取模式:cors
• 如果请求想要来自另一个来源的资源
• 这是新请求的默认值
• like:请求正在获取外部API资源
••••••2••••••Sec-Fetch-Mode:无cors
• 与“Sec-Fetch-Mode: cors”完全相同,但在以下三方面比它更受限制:
1- 没有 JavaScript 代码可以访问响应的属性。
2-如果服务工作人员拦截此请求,它只能修改一组有限的标头。
3-方法只是 HEAD、GET、POST/headers 只是简单的 headers
• 名称容易混淆的 no-cors 实际上允许跨域请求
• 喜欢:拍张照片
••••••3••••••Sec-Fetch-Mode:同源
如果请求想要来自其自身来源的资源,但该请求不是用于导航 HTML 文档
••••••4••••••Sec-Fetch-Mode:导航
该请求是通过 HTML 文档之间的导航发起的
••••••5••••••秒获取模式:websocket
正在发出建立 WebSocket 连接的请求
仅针对用户激活发起的请求发送,其值始终为 ? 1
例如,
假设您想在浏览器上访问 example.com
浏览器将获取主文档、页面收藏夹图标、照片和脚本
“用户”想要主文档,所以这个请求将有一个“Sec-Fetch-User: ?1”
其他请求没有“Sec-Fetch-User”,因为它们的请求不是由用户发起的
向服务器发送信号,表示客户端对加密且经过身份验证的响应的偏好 换句话说,在实践中: 此标头指示浏览器通过安全连接加载页面上的所有子资源 例如,如果 https 页面的某些内容仍然通过 http 加载