WebKit“拒绝设置不安全的标头'内容长度'”

Posted 2023-03-04

【中文标题】WebKit“拒绝设置不安全的标头\'内容长度\'”

【英文标题】：WebKit "Refused to set unsafe header 'content-length'"WebKit“拒绝设置不安全的标头'内容长度'”

【发布时间】：2011-02-07 02:43:39

【问题描述】：

我正在尝试实现简单的 xhr 抽象，并在尝试为 POST 设置标头时收到此警告。我认为这可能与在单独的 js 文件中设置标头有关，因为当我将它们设置在 .html 文件的 <script> 标记中时，它工作正常。 POST 请求工作正常，但我收到此警告，我很好奇为什么。我对 content-length 和 connection 标头都收到此警告，但仅限于 WebKit 浏览器（Chrome 5 beta 和 Safari 4）。在 Firefox 中，我没有收到任何警告，Content-Length 标头设置为正确的值，但 Connection 设置为 keep-alive 而不是 close，这让我认为它也忽略了我的 setRequestHeader 调用并生成它自己的。我没有在 IE 中尝试过这段代码。这是标记和代码：

test.html:

<!DOCTYPE html>
<html>
    <head>
        <script src="jsfile.js"></script>
        <script>
            var request = new Xhr('POST', 'script.php', true, 'data=somedata',  function(data)  
                console.log(data.text); 
            );
        </script>
    </head>
    <body>
    </body>
</html>

jsfile.js:

function Xhr(method, url, async, data, callback) 
    var x;
    if(window.XMLHttpRequest) 
        x = new XMLHttpRequest();

        x.open(method, url, async);

        x.onreadystatechange = function() 
            if(x.readyState === 4) 
                if(x.status === 200) 
                    var data = 
                        text: x.responseText,
                        xml: x.responseXML
                    ;
                    callback.call(this, data);
                
            
        

        if(method.toLowerCase() === "post") 
            x.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
            x.setRequestHeader("Content-Length", data.length);
            x.setRequestHeader("Connection", "close");
        

        x.send(data);
     else 
        // ... implement IE code here ...
    
    return x;

【问题讨论】：

为什么不让 WebKit 设置那个头域呢？

我想我的印象是设置该字段是最佳实践，以便跨浏览器保持一致......

有些标题字段最好由客户端/服务器自动设置。 Content-Length 就是其中之一。

【参考方案1】：

它也忽略了我的 setRequestHeader 调用并生成它自己的

是的，standard 说必须：

出于安全原因，如果标题为 [...]，则应终止这些步骤

连接 内容长度

搞砸这些可能会暴露各种request smuggling 攻击，因此浏览器总是使用自己的值。没有必要也没有理由尝试设置请求长度，因为浏览器可以根据您传递给send() 的数据长度准确地做到这一点。

【讨论】：

书籍，尤其是学习 PHP、mysql 和 javascript，仍然教人们手动执行此操作……读完那本书后我也做了同样的事情。

我需要 setRequestHeader 来解压 .gzip 文件...这合法吗？

@Hiro：你想设置什么标题？ HTTP 请求通常不会为您解压缩 .gzip 资源；有 gzip Content-Encoding 来压缩网络上的资源，但是浏览器会再次自动为您执行此操作，这不是您需要（或可以）使用 XMLHttpRequest.setRequestHeader 控制的东西。

我使用在线雅虎工具压缩了我的内容......然后我需要在 PHP 中更改我的代码我必须做的是 header("Content-Encoding: gzip");在 ajax 将压缩后的数据发送回客户端之前……现在快多了……而且只需一行代码和一个在线工具。

jQuery.ajax 请求根本没有根据开发者工具中 Chrome 的网络请求选项卡设置 Content-Length，我不知道为什么。它试图手动设置它，但遇到了这个错误。该请求正在发送到服务器并由 svc 文件处理，但响应最终为空。如果我从 chrome 中的邮递员之类的工具发送请求，则不会出现此问题。 jQuery.ajax 似乎有问题