小编典典

WebKit“拒绝设置不安全的标头'content-length'”

ajax

我正在尝试实现简单的xhr抽象,并且在尝试设置POST标头时收到此警告。我认为这可能与在单独的js文件中设置标头有关,因为当我<script>在.html文件的标记中设置标头时,效果很好。POST请求工作正常,但是我收到此警告,并且很好奇为什么。我同时针对标头content- lengthconnection标头收到此警告,但仅在WebKit浏览器(Chrome 5 beta和Safari
4)中得到此警告。在Firefox中,我没有收到任何警告,Content-Length标头设置为正确的值,但Connection设置为keep-
alive而不是close,这使我认为它也忽略了setRequestHeader调用并生成它自己的。我没有在IE中尝试过此代码。这是标记和代码:

test.html

<!DOCTYPE html>
<html>
    <head>
        <script src="jsfile.js"></script>
        <script>
            var request = new Xhr('POST', 'script.php', true, 'data=somedata',  function(data) { 
                console.log(data.text); 
            });
        </script>
    </head>
    <body>
    </body>
</html>

jsfile.js

function Xhr(method, url, async, data, callback) {
    var x;
    if(window.XMLHttpRequest) {
        x = new XMLHttpRequest();

        x.open(method, url, async);

        x.onreadystatechange = function() {
            if(x.readyState === 4) {
                if(x.status === 200) {
                    var data = {
                        text: x.responseText,
                        xml: x.responseXML
                    };
                    callback.call(this, data);
                }
            }
        }

        if(method.toLowerCase() === "post") {
            x.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
            x.setRequestHeader("Content-Length", data.length);
            x.setRequestHeader("Connection", "close");
        }

        x.send(data);
    } else {
        // ... implement IE code here ...
    }
    return x;
}

阅读 346

收藏
2020-07-26

共1个答案

小编典典

它也忽略了我的setRequestHeader调用并生成了自己的

是的,标准规定必须:

出于安全原因,如果标头为[…],则应终止这些步骤

  • 连接
  • 内容长度

与这些混乱可能会暴露各种请求走私攻击,因此浏览器始终使用自己的值。无需或没有理由尝试设置请求长度,因为浏览器可以根据您传递给的数据长度准确地做到这一点send()

2020-07-26