WebKit“拒絕設置不安全的標頭'content-length'”

Question

我正在嘗試實現簡單的xhr抽象，並且在嘗試設置POST標頭時收到此警告。 我認為這可能與在單獨的js文件中設置標頭有關，因為當我在.html文件的<script>標記中設置標頭時，效果很好。 POST請求工作正常，但是我收到此警告，並且很好奇為什么。 對於content-length和connection標頭，我都會收到此警告，但僅在WebKit瀏覽器（Chrome 5 beta和Safari 4）中會收到此警告。 在Firefox中，我沒有收到任何警告，Content-Length標頭設置為正確的值，但是Connection設置為keep-alive而不是close，這使我認為它也忽略了setRequestHeader調用並生成它自己的。 我沒有在IE中嘗試過此代碼。 這是標記和代碼：

test.html ：

<!DOCTYPE html>
<html>
    <head>
        <script src="jsfile.js"></script>
        <script>
            var request = new Xhr('POST', 'script.php', true, 'data=somedata',  function(data) { 
                console.log(data.text); 
            });
        </script>
    </head>
    <body>
    </body>
</html>

jsfile.js ：

function Xhr(method, url, async, data, callback) {
    var x;
    if(window.XMLHttpRequest) {
        x = new XMLHttpRequest();

        x.open(method, url, async);

        x.onreadystatechange = function() {
            if(x.readyState === 4) {
                if(x.status === 200) {
                    var data = {
                        text: x.responseText,
                        xml: x.responseXML
                    };
                    callback.call(this, data);
                }
            }
        }

        if(method.toLowerCase() === "post") {
            x.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
            x.setRequestHeader("Content-Length", data.length);
            x.setRequestHeader("Connection", "close");
        }

        x.send(data);
    } else {
        // ... implement IE code here ...
    }
    return x;
}

Answer 1

它也忽略了我的setRequestHeader調用並生成了自己的

是的，標准規定必須：

出於安全原因，如果標頭為[...]，則應終止這些步驟

連接

內容長度

與這些混亂可能會暴露各種請求走私攻擊，因此瀏覽器始終使用自己的值。 無需或沒有理由嘗試設置請求長度，因為瀏覽器可以從傳遞給send()的數據長度中准確地做到這一點。

WebKit“拒絕設置不安全的標頭'content-length'”

問題描述

1 個解決方案

解決方案1
64 已采納 2010-04-12 17:54:02

WebKit“拒絕設置不安全的標頭&#39;content-length&#39;”

問題描述

1 個解決方案

解決方案1 64 已采納 2010-04-12 17:54:02

WebKit“拒絕設置不安全的標頭'content-length'”

解決方案1
64 已采納 2010-04-12 17:54:02