[HTTP趣谈]origin,referer和host区别

发起一个ajax请求时，request header里面有三个属性会涉及请求源信息。前端可能用不到这些值，但是，后台业务系统会比较关心它们，场景可能有：

• 处理跨域请求时，必须判断来源请求方是否合法；
• 后台做重定向时，需要原地址信息；

作为前端，了解三者的区别和使用场景，还是有很意义的。

先看图：

host.png

1. Host

描述请求将被发送的目的地，包括，且仅仅包括域名和端口号。 在任何类型请求中，request都会包含此header信息。

2. Origin

用来说明请求从哪里发起的，包括，且仅仅包括协议和域名。 这个参数一般只存在于CORS跨域请求中，可以看到response有对应的header：Access-Control-Allow-Origin。

3. Referer

告知服务器请求的原始资源的URI，其用于所有类型的请求，并且包括：协议+域名+查询参数（注意，不包含锚点信息）。

因为原始的URI中的查询参数可能包含ID或密码等敏感信息，如果写入referer，则可能导致信息泄露。