setRequestHeader("Connection","close")报错

最新推荐文章于 2023-05-12 13:05:12 发布
最新推荐文章于 2023-05-12 13:05:12 发布
阅读量3.7k 收藏
点赞数
分类专栏: HTTP JavaScript 文章标签: web 请求首部 请求头 requestheader 首部
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yana1225/article/details/80923801
版权

 

  • 问题产生:

    今天在看前人留下的代码,走到ajax总是会报错:Refused to set unsafe header "Connection"

 

  • 初步调研:

    网上调查一番发现,chrome不支持一部分请求头的setRequestHeader。

                所以前人没关注这个错误,大概是因为系统主要是在 IE 里面运行的吧。

 

  • 贴上代码:

        xmlRequest.open(this.method, url, this.async);
        xmlRequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
        xmlRequest.setRequestHeader("RequestType", "AJAX");
        if(this.closeConnection){
            xmlRequest.setRequestHeader("Connection", "close");   // 报错语句 Refused to set unsafe header:"Connection"
        }

        xmlRequest.send(sendContent);

 

  • 查询 setRequestHeader:

      1. 网友回复:供参考,点击传送

          文章回复是英文,翻译过来是(部分翻译可能不是很准确,望求指点):

        XMLHttpRequest isn't allowed to set these headers, they are being set automatically by the browser. The reason is that by manipulating these headers you might be able to trick the server into accepting a second request through the same connection, one that wouldn't go through the usual security checks - that would be a security vulnerability in the browser.

             XHR请求不允许设置这些header,浏览器会自动设置。因为允许你操作这些 header 意味着你可以骗过浏览器进行二次连接,而这个二次连接不会进行安全检查,这种情况会在浏览器中造成安全隐患。

        2. w3c 标准说明:

          (w3school 中对 XMLHttpRequest 的详细说明) 点击传送

           (WHATWG 上查到的相关文档)点击传送

     贴出 WHATWG 上列出的不能设置的 header

 

A forbidden header name is a header name that is a byte-case-insensitive match for one of

  • `Accept-Charset`    用来告知(服务器)客户端可以处理的字符集类型。借助内容协商机制,服务器可以从诸多备选项中选择一项进行应用, 并使用Content-Type 应答头通知客户端它的选择。浏览器通常不会设置此项值。
  • `Accept-Encoding`     浏览器发给服务器,声明浏览器支持的编码类型。

         示例:    

              Accept-Encoding: gzip, deflate, sdch, br

          示例:

             Access-Control-Request-Headers: X-PINGOTHER, Content-Type

          示例:

             Access-Control-Request-Method: POST

  • `Connection`    客户端和服务器通信时对于长链接如何处理。

          示例:

             Connection: keep-alive

  • `Content-Length`     浏览器实体主体的大小。
  • `Cookie`    cookie信息。
  • `Cookie2`      已被淘汰,现在多使用 Cookie。
  • `Date`    当前的 GMT 时间。
  • `DNT`    禁止追踪 Do Not Track。
  • `Expect`    表示服务器只有在满足此期望条件的情况下才能妥善的处理请求。

                示例:Expect: 100-continue

                回复:100(continue);417(expectation failed)

  • `Host`      指定请求服务器的域名/IP+端口号。
  • `Keep-Alive`     允许消息发送者暗示连接的状态,还可以用来设置超时时长和最大请求数,在设置Connection:keep-alive之后才有意义。

 

 

                示例:Keep-Alive: timeout=5, max=1000

 

 

  • `Origin`      指示了请求来自哪个站点。
  • `Referer`      包含了当前请求页面的来源页面的地址。
  • `TE`     TE请求型头部用来指定用户代理希望使用的传输代码类型。Accept-Transfer-Encoding
  • `Trailer`      允许发送方在分块发送的消息后面添加额外的元信息,这些元信息可能是随着消息主体的发送动态生成的,比如消息的完整校验,消息的数字签名,或者消息经过处理后的最终状态等。
  • `Transfer-Encoding`     是一个逐跳传输消息首部,即仅用于两个节点之间的消息传递,而不是所请求的资源本身。
  • `Upgrade`      向服务器指定某种传输协议以便服务器进行转换。
  • `Via`       是一个通用首部,由代理服务器添加,适用于正向和反向代理,在请求和响应中均可出现。可以用来追踪消息转发情况,防止循环请求,以及识别在请求或响应传递链中消息发送者对于协议的支持能力。
  • `User-Agent`( 不包含在文档中,但在其他资料有这个,测试也证实不能设置 )      用户代理,可用来判断浏览器类型。

   (参考网站有:MDN,w3school,WHATWG等)

写程序的吗喽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
axios Refused to set unsafe header has been blocked by CORS policy
未金涛的博客
11-23 6653
前言 事情是这样的,我准备复制一个资源下载类的网站。第一步肯定是爬取目标网站的资源了。我在用python写爬虫的时候,当我提取完网页中的基础数据之后。就发现,目标网站后面大部分的数据都是通过有规律的aip返回的json数据源。这个时候作为一个白飘党,我就在想能不能直接白嫖对面的api,直接拿来用呢?然后,在前端遇到了些问题,我感觉以我现在的技术水准无法解决。 前端axios请求示例 axios({ method: "post", // url: "https://msdn
ajax错误重连,javascript - AJAX post error : Refused to set unsafe header "Connection" - Stack Overflow...
weixin_36090220的博客
08-05 776
I have the following custom ajax function that posts data back to a PHP file. Everytime the post of data happens I get the following two errors :Refused to set unsafe header "Content-length"Refused to...
Refused to set unsafe header "Connection"
dgew0587的博客
10-08 5390
参考 http://stackoverflow.com/questions/7210507/ajax-post-error-refused-to-set-unsafe-header-connection 使用ajax时,chrome报出异常:Refused to set unsafe header "Connection"。 xmlHttp.setRequestHeade...
前端设置Cookie请求头报错 Refused to set unsafe header “Cookie“
u011200562的博客
07-03 9115
w3c规定,当请求header匹配以下不安全字符时,将被终止 Accept-Charset Accept-Encoding Connection Content-Length Cookie Cookie2 Content-Transfer-Encoding Date Expect Host Keep-Alive Referer TE Trailer Transfer-Encoding Upgrade User-Agent Via
xhr Error: Refused to set unsafe headerReferer“ - 在 axios 中试图修改 Headers 的 Referer 时
x_chengqq
05-12 3081
浏览器拒绝人为设置伪装的Headers Referer。
安全基础第二天:http的headerreferrer
weixin_62870380的博客
02-28 1万+
form表单、iframe、referrer、防盗链以及其图片绕过、burpsite抓包的请求头部详解、cookie和session的关系、同源和跨域。
ajax post方式表单提交setRequestHeader报错解决方法
01-19
我们要设置异步对象的xhr.setRequestHeader成员的值为 XMLHttpRequest.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded”);否则的话后台是不能接收到传过去的值的。因为在谷歌浏览器的...
XMLHTTP中setRequestHeader参数问题
10-18
ajax 请求头部设置 XMLHTTP中setRequestHeader参数问题
xmlhttp 乱码 比较完整的解决方法 (UTF8,GB2312 编码 解码)
10-30
oReq.setRequestHeader "Content-Length", Len(strA) oReq.setRequestHeader "CONTENT-TYPE", "application/x-www-form-urlencoded" oReq.send strA ``` Part II 正确显示得到的中文内容 在服务器端接收到中文字符...
jsp解析
09-24
req.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); req.send("name=" + name.value); req.onreadystatechange = function() { if (req.readyState == 4 && req.status == 200) { var ...
uni-app 发送请求时遇到报错 Refused to set unsafe header “Cookie“
Dark_programmer的博客
02-09 6630
在使用uni-app开发快手小程序时,遇到如下错误: Refused to set unsafe header "Cookie" 这到底是什么问题呢?但是在同套代码里开发字节小程序就没遇到该问题。 翻译错误信息为 拒绝设置不安全的标题“Cookie”。 为什么会产生该问题呢? w3c规定,当请求header匹配以下不安全字符时,将被终止,具体参考如下: Accept-Charset Accept-Encoding Connection Content-Length Cookie
前端:常用点,记不到(1)
natiaolu的博客
06-02 3150
1、this.$router.back(); //返回上一级 2、父组件可以使用 props 把数据传给子组件。 3、子组件可以使用 $emit 触发父组件的自定义事件。 Moment (超常用,时间转换) 1、将时间转换为时间戳(每次这么简单,我为啥记不住) moment(start_time).valueOf() / 1000 2、只有时间可以转换为moment对象(反显在组件上面) [moment(start_time), moment(end_time)] [moment( 2019-12-
Vue使用proxy提示 “Refused to set unsafe headerReferer“”
热门推荐
前端小白-Mr鹏帅
03-05 1万+
在调用另一个源节点接口的时候,报错提示“Refused to set unsafe header "Referer" 报错信息 经过查询发现是因为浏览器拒绝人为设置伪装的referer 正巧不巧,在用vue的proxy来进行跨域处理,由此记录一下用法。 这是在调用axios的方法 method:'post', url:"/api/v1/home/page", headers:{ 'Content-Type':'application/x-www-form-ur
Ionic3项目开发——发起定向HTTP请求
gent__chen的博客
11-24 2960
ionic项目在手机中,在测试环境下往局域网的某服务器发起一个请求。如果发起一个http://www.a.com/test的请求,手机端又没有对这个域名的解析。以下有两个方法可以解决。修改手机hosts文件可以修改手机的hosts文件,实现特定的域名解析。但这个方法需要获取手机的root权限。我大华为不允许我这么搞啊。修改请求头host字段大家都知道http请求头内有许多字段,其中host字段的作用
xhr.setRequestHeader报错Failed to execute 'setRequestHeader' on 'XMLHttpRequest': The object's state must be OPENED."
最新发布
05-28
这个错误通常是因为在调用 `setRequestHeader()` 方法之前,没有先调用 `open()` 方法打开 XMLHttpRequest 对象。如果没有先调用 `open()` 方法,XMLHttpRequest 对象的状态是 0(UNSENT),此时不能设置请求头。 因此,可以按照以下代码顺序进行调用: ```javascript var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://example.com/api/data', true); xhr.setRequestHeader('Authorization', 'Bearer ' + token); xhr.onreadystatechange = function() { if (xhr.readyState === 4 && xhr.status === 200) { // 请求成功后的处理代码 } }; xhr.send(); ``` 在上面的代码中,首先调用 `open()` 方法打开 XMLHttpRequest 对象,然后再调用 `setRequestHeader()` 方法设置请求头。最后调用 `send()` 方法发送请求
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值