当下主流浏览器出于安全考虑,禁止了一系列 Forbidden header name 的修改,包括以 Proxy- 和 Sec- 开头的标头。当试图修改这些 header 时,将会被提示“拒绝修改不安全的header”,错误信息如下:
Refused to set unsafe header "Referer"很多网站会基于以上规则,做一些相关的防护手段。例如常见的内容分发网络服务 CDN - Content Delivery Network 会提供 Referer防盗链 访问控制。
禁止修改的 Header 头列表( Forbidden header name )
Accept-Charset
Accept-Encoding
Access-Control-Request-Headers
Access-Control-Request-Method
Connection
Content-Length
Cookie
Date
DNT
Expect
Permissions-Policy
Host
Keep-Alive
Origin
Proxy-
Sec-
Referer
TE
Trailer
Transfer-Encoding
Upgrade (en-US)
Via中文参考:https://developer.mozilla.org/zh-CN/docs/Glossary/Forbidden_header_name
英文参考:https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name
