我注意到当正常进行请求时,XMLHttpRequest.getResponseHeader()的结果并不总是与实际返回的头部匹配。
例如,假设我正在进行对https://foo.example.com/api/resource/100的xhr请求。在Chrome开发者工具的“网络”选项卡下,我可以看到响应已被发送,我也可以看到所有的响应头(比如说有10个)。然而,执行以下代码却得到了不同的结果:
> response
XMLHttpRequest
> response.getAllResponseHeaders();
"content-type: text/html
"
有什么限制可以使用哪些HTTP头部?这与响应类型有关吗?我记得在处理404时会获得完整的头部,但在处理400时只有这个。
怎么回事?
任何其他头字段都应该被返回。client.getAllResponseHeaders()
返回响应中除了那些字段名为
Set-Cookie或Set-Cookie2的所有头。
在此,您可以读到“跨源资源共享规范过滤了对于非同源请求公开的getResponseHeader()头。 ”。该规范禁止访问除简单响应头字段(即Cache-Control,Content-Language,Content-Type,Expires,Last-Modified和Pragma)之外的任何响应头字段:XMLHttpRequest Level 2规范增强了XMLHttpRequest对象的新功能,例如跨域请求[...]
用户代理必须过滤掉除那些是简单响应头之外的所有响应头[…]。
例如,XMLHttpRequest的
getResponseHeader()方法因此不会公开任何未在上述列表中指定的标头。
Access-Control-Expose-Headers: -- 只发现它只在 Gecko 中有效,而在 WebKit 中无效。WebKit 愉快地“拒绝获取不安全的头文件(..)”,而 Gecko 则看不到问题。第二个问题:getAllResponseHeaders() 是错误的。我可以使用 getResponseHeader() 获取前者未列出为可用的标头。 - maligreegetAllResponseHeaders()返回"",而getResponseHeader('content-length')或getResponseHeader('www-authenticate')(其中一个我设置并且Access-Control-Expose-Header)返回正确的头部值。我现在不想暴露使用的URI,但如果有帮助的话,我可以稍后设计一个隔离的测试用例。 - maligreenull? 参考 https://bugzilla.mozilla.org/show_bug.cgi?id=608735 - Knu
http://stackoverflow.com/发出请求,我可以获得所有的头信息。我不确定如何重现这个问题。 - pimvdb