我想知道是否有任何方法可以从google app引擎响应标头中删除服务器名称(Google Frontend),以隐藏应用程序部署在GAE上.

我公司正在开发的Zend Expressive项目已准备好发货,但在我们的暂存环境中,我们似乎缺少CORS飞行前请求的响应标头.这在我们的开发环境中不会发生.我们在我们的管道中使用CorsMiddleware,但它看起来并不像中间件是罪魁祸首.

问题

在运行时,中间件检测传入的飞行前请求,它将回复如下响应:

HTTP/1.1 200 OK
Date: Mon, 20 Aug 2018 15:09:03 GMT
Server: Apache
X-Powered-By: PHP/7.1.19
Access-Control-Allow-Origin: https://example.com
Vary: Origin
Access-Control-Allow-Headers: content-type
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8

嗯,这只适用于我们的开发服务器和php的内置Web服务器.响应与我们的登台服务器不同,即使请求完全相同,除了主机:

HTTP/1.1 200 OK
Date: Mon, 20 Aug 2018 15:11:29 GMT
Server: Apache
Keep-Alive: timeout=5, max=100
Cache-Control: max-age=0, no-cache
Content-Length: 0
Content-Type: text/html; charset=UTF-8

我们尝试过的

调查中间件

我们已经验证CorsMiddleware运行完美,实际上设置了所需的标题.当我们修改CorsMiddleware的响应代码,并将其设置202的,而不是200我们现在做的也得到了我们正在寻找的头.更改响应代码200使标题再次消失.

手动设置标头

使用以下示例:

header('Access-Control-Allow-Origin: https://example.com');
header('Access-Control-Allow-Headers: content-type');
header('Vary: Origin');
exit(0); …

在OAuth 1.0规范中,建议使用以下WWW-Authenticate标头进行响应:

WWW-Authenticate: OAuth realm="http://server.example.com/"

是否适合在此标题中添加任何其他信息性数据？如果对受保护资源的请求失败,是否可以包含一些有关原因的信息？如:

WWW-Authenticate: OAuth realm="http://server.example.com/", access token invalid

或者这与响应标题的目的相反？

可能重复:
jQuery和AJAX响应头

如果服务器在响应头中返回数据我怎么能读它.我正在向服务器发送一个AJAX请求.它不返回除响应标头中的位置之外的任何内容.我想用JavaScript或jQuery读取该位置....

我有一个主代理,它将请求发送到安装了OpeenSSO的辅助代理.

如果OpenSSO代理确定用户未登录,则会将302重定向引发到身份验证服务器,并提供用户在重定向位置标头中请求的原始(编码)URL作为GET参数.

但是,GET变量中的URL是内部(辅助)代理服务器的URL,而不是原始代理服务器.因此,我想编辑/重写"位置"响应标头以提供正确的URL.

例如

1. http://a.com/hello/(原始请求的URL)
2. http://a.com/hello2/ (使用OpenSSO代理的辅助代理)
3. http://auth.a.com/login/?orig_request=http%3A%2F%2Fa.com%2Fhello2%2F(302重定向到auth服务器,其中第二代理服务器的请求URL以GET变量编码)
4. http://auth.a.com/login/?orig_request=http%3A%2F%2Fa.com%2Fhello%2F(编码的URL被重写为原始请求的URL)

我已经尝试过几乎所有标题和重写的组合而没有运气,所以我认为这可能是不可能的.我得到的最接近的是这个,但mod_headers编辑函数不解析环境变量.

# On the primary proxy.
RewriteEngine On
RewriteRule ^/(.*)$ - [E=orig_request:$1,P]
Header edit Location ^(http://auth\.a\.com/login/\?orig_request=).*$ "$1http%3A%2F%2Fa.com%2F%{orig_request}e"

我见过一个名为的HTTP标头X-iinfo.她是一些例子:

X-Iinfo: 5-17009424-17011001 PNNN RT(1388193526625 4677) q(0 0 0 -1) r(1 1) U10000

X-Iinfo:4-13055499-13055501 NNNN CT(182 -1 0) RT(1388193578304 0) q(0 0 1 4) r(6 6) U1

它们的一部分(但不是全部)似乎在刷新时发生变化.

这个标题是什么？

您可能知道，RFC 6265表明允许有多个带有该Set-Cookie名称的标头。

然而，提取API不允许这样做，因为所有的暴露的方法头接口（包括get()，set()，append()，entries()和所有其余的）已实施的所有具有相同名称的头的值合并成一个头分离用逗号。

例如，如果我们这样做：

var headers = new Headers();
headers.append('content-type', 'text/plain');
headers.append('set-cookie', 'test1=v; Max-Age=0');
headers.append('set-cookie', 'test2=v; Max-Age=0');
headers.append('set-cookie', 'test3=v; Max-Age=0');

然后我们尝试使用 读取set-cookie值get('set-cookie')，或者通过headers使用迭代变量entries()，我们得到：

'set-cookie' : test1=v; Max-Age=0, test2=v; Max-Age=0, test3=v; Max-Age=0

请注意，如果我们尝试读取或操作具有多个同名标头的现有响应对象（即由可以说支持此类允许行为的其他框架创建），也会发生相同的错误行为：换句话说，似乎Fetch API是完全无法妥善处理这种情况。

现在，虽然这种行为所需的一些报头，如Accept，该Set-Cookie标题不正确地被大多数浏览器（包括铬和Firefox）解析，从而导致不正确设置的cookie。

这是一个已知的错误吗？如果是这种情况，是否有可用的解决方法来克服这个问题？

我正在尝试嵌入一些 Salesforce 代码，该代码在 Edge 和某些版本的 Google Chrome 上运行良好，但其他一些代码却给了我错误Refused to get unsafe header "Server-Timing"，即使在检查 Edge 上的响应标头时我可以看到两者Access-Control-Expose-Headers: Server-Timing并Timing-Allow-Origin: *包含在内。

我尝试环顾四周，但似乎没有太多相关内容，我不确定这是否是我可以填充当前版本的 Chrome 错误的东西，或者它是否是我需要的东西带到 Salesforce。

我正在使用 Axios 发出发布请求，此调用在响应标头和正文中返回数据。在标头中，它返回一个x-auth-token，我想获取此令牌的值，但它返回：

undefined is not an object

这是我的做法：

undefined is not an object

在我的应用程序（node/express）中，我必须调用第三方服务器来读取一些数据。第三方服务器的响应将具有自定义标头sessionId-Id根据文档大写。但在我的应用程序中，自定义标头键更改为sessionid-id小写。我在 axios 和 request-promise http 客户端中测试了这种行为。

为什么 header key 中的大写字母在 node/express 中转换为小写字母？