WebKit“拒绝设置不安全的标头'content-length'”
我正在尝试实现简单的xhr抽象,并且在尝试设置POST标头时收到此警告。我认为这可能与在单独的js文件中设置标头有关,因为当我<script>在.html文件的标记中设置标头时,效果很好。POST请求工作正常,但是我收到此警告,并且很好奇为什么。我同时针对标头content- length和connection标头收到此警告,但仅在WebKit浏览器(Chrome 5 beta和Safari
4)中得到此警告。在Firefox中,我没有收到任何警告,Content-Length标头设置为正确的值,但Connection设置为keep-
alive而不是close,这使我认为它也忽略了setRequestHeader调用并生成它自己的。我没有在IE中尝试过此代码。这是标记和代码:
test.html:
<!DOCTYPE html>
<html>
<head>
<script src="jsfile.js"></script>
<script>
var request = new Xhr('POST', 'script.php', true, 'data=somedata', function(data) {
console.log(data.text);
});
</script>
</head>
<body>
</body>
</html>
jsfile.js:
function Xhr(method, url, async, data, callback) {
var x;
if(window.XMLHttpRequest) {
x = new XMLHttpRequest();
x.open(method, url, async);
x.onreadystatechange = function() {
if(x.readyState === 4) {
if(x.status === 200) {
var data = {
text: x.responseText,
xml: x.responseXML
};
callback.call(this, data);
}
}
}
if(method.toLowerCase() === "post") {
x.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
x.setRequestHeader("Content-Length", data.length);
x.setRequestHeader("Connection", "close");
}
x.send(data);
} else {
// ... implement IE code here ...
}
return x;
}
问题答案:
它也忽略了我的setRequestHeader调用并生成了自己的
是的,标准规定必须:
出于安全原因,如果标头为[…],则应终止这些步骤
- 连接
- 内容长度
与这些混乱可能会暴露各种请求走私攻击,因此浏览器始终使用自己的值。无需或没有理由尝试设置请求长度,因为浏览器可以根据您传递给的数据长度准确地做到这一点send()。
-
但是,我得到错误。这是我的密码。我怎么能这么做?
-
问题内容: 我具有以下自定义ajax函数,该函数将数据发布回PHP文件。每当发生数据发布时,我都会遇到以下两个错误: 拒绝设置不安全标头“ Content-length” 拒绝设置不安全标头“ Connection” 代码: 我究竟做错了什么? 问题答案: 删除以下两行: 不允许XMLHttpRequest设置这些标头,它们是由浏览器自动设置的。原因是通过处理这些标头,您可能能够欺骗服务器通过同一
-
问题内容: 我正在使用Angularjs。当我设置标头时,在Chrome上出现以下错误: 但是,该请求已包含在请求中,并已成功发送到服务器。我似乎已经正确配置了所有内容以允许服务器和客户端上的标头: 对于服务器,我有以下这些: 对于客户,我指定了这些: 为什么会出现此错误? 问题答案: 您从Chrome浏览器中收到该错误,因为根据XHR规范,该方法不应使用禁止的标头名称设置标头。 根据规范: 这些
-
我正在使用ASP.NET WebApi创建一个RESTful API。我正在我的一个控制器中创建一个PUT方法,代码如下所示: 当我通过AJAX使用浏览器将其放到该位置时,它给出了以下例外情况: 标头名称使用不当。确保请求标头与HttpRequestMessage一起使用,响应标头与HttpReponseMessage一起使用,内容标头与HttpContent对象一起使用。 但是不是一个完全有效的
-
问题内容: 没有自定义标头的简单GET请求。响应将按预期返回。正文中的数据是可访问的,但标头不可访问。 当我尝试访问“ etag”标头时,浏览器会引发异常: 拒绝获取不安全的标头“ etag” Chrome,Safari和Firefox的行为均相同。我没有在IE上测试过。 我在这里想念什么? 问题答案: 使用CORS时仅公开简单的响应头。这里定义了简单的响应头。 不是简单的响应头。如果要公开非简单
-
问题内容: 我有一个带有多个控制器的webapp。我在一个控制器中(通过)在回调中设置服务的默认标头。但是,这些标头不会在其他控制器的后续调用中设置。是否必须为我拥有的每个控制器设置一次,或者一次设置足够? 问题答案: 您应该使用以下两种方法之一: 在运行块中设置$ http.defaults.headers 使用拦截器