这个问题类似于为什么 Access-Control-Request-Headers 中包含非自定义标头?
在 CORS 预检请求期间,Chrome 和 Safari 都在Origin标头中包含Access-Control-Request-Headers标头。他们忽略此标头,因为 Origin 不需要位于相应的 Access-Control-Allow-Headers 响应标头中。虽然 CORS 规范没有将 Origin 定义为简单标头,但还有其他标头,例如User-Agent,未定义为简单标头,但未包含在 Access-Control-Request-Headers 中。Firefox 在 Access-Control-Request-Headers 中不包含 Origin 标头。
所以我的问题是:为什么 Chrome 和 Safari 会在 中包含Origin标题Access-Control-Request-Headers,尤其是因为它没有效果?我的猜测是因为它们都基于 WebKit,但我正在寻找一个更深入地研究为什么存在这种行为的答案。