如果 Referer 标头中无论如何都有 Origin,那么同时拥有这两个标头有什么意义?
如果接收 HTTP 请求的服务器想知道 Origin,只需查看 Referer 标头中的域即可。
我知道如果是 HTTPS 到 HTTP 请求(以及许多其他场景),则不会发送 Referer 标头,但是 他们为什么不设计它,而不是删除它,它仍然被发送,但它只具有域名(Origin 标头将包含该域名)?
为了保护隐私,任何浏览器请求都可以决定省略 Referer 标头。所以最好只检查起源 标头。 (如果您想让用户保留他们的 隐私)
在某些情况下,Origin 标头为空。请注意,所有这些 requests 是 GET 请求,这意味着它们不应该有任何一边 效果。