我注意到 和 的结果XMLHttpRequest.getResponseHeader()并不总是与返回的真实标头匹配(如果以常规方式发出请求)。
例如,假设我正在xhr请求https://foo.example.com/api/resource/100. 在 Chrome 的开发者控制台中,在“网络”下,我可以看到正在做出的响应——我还可以看到所有的响应标头(比如 10)。但是(复制粘贴的控制台):
> response
XMLHttpRequest
> response.getAllResponseHeaders();
"content-type: text/html
"
对可用的标头有什么限制吗?这取决于响应类型吗?我记得为 404s 获得了一套完整的标头,但对于 400s 只有这个。
是什么赋予了?
标准化XMLHttpRequest API的当前状态仅限制对Set-Cookie和Set-Cookie2标头字段的访问:
客户端.getAllResponseHeaders()
返回响应中的所有标头,字段名称为
Set-Cookieor 的标头除外Set-Cookie2。
应返回任何其他标头字段。
但是当您在执行跨域请求时,浏览器需要实现XMLHttpRequest Level 2,因为原始 XMLHttpRequest 只允许同源请求:
XMLHttpRequest Level 2 规范通过新功能增强了 XMLHttpRequest 对象,例如跨域请求 […]
在那里你可以读到“跨源资源共享规范过滤标头,过滤由getResponseHeader()为非同源请求公开的标头。”。并且该规范禁止访问除简单响应头字段(即Cache-Control、Content-Language、Content-Type、Expires、Last-Modified和Pragma)之外的任何响应头字段:
用户代理必须过滤掉除简单响应头之外的所有响应头 […]
例如
getResponseHeader(), XMLHttpRequest的方法因此不会公开任何上面未指明的标头。
这是Access-Control-Allow-Origin标题以及它允许防止哪些标题暴露给浏览器的方式。mozilla 上的文档。