108 votes

sniper avatar

Erreur de post AJAX : Refused to set unsafe header "Connection" (Refus de définir un en-tête non sécurisé)

Demandé el 26 de Août, 2011
Quand la question a-t-elle été
33636 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai la fonction ajax personnalisée suivante qui renvoie des données dans un fichier PHP. Chaque fois que l'envoi de données se produit, je reçois les deux erreurs suivantes :

Refus de mettre l'en-tête non sécurisé "Content-length".
Refus de mettre l'en-tête non sécurisé "Connection".

Code :

function passposturl(url1, params, obj)
{
    //url1 = url1+"&sid="+Math.random();
    xmlHttp = get_xmlhttp_obj();
    xmlHttp.loadflag = obj;
    xmlHttp.open("POST", url1, true);
    //alert(url1);
    //alert(params);
    //alert(obj);
    //alert(params.length);
    xmlHttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
    xmlHttp.setRequestHeader("Content-length", params.length);
    xmlHttp.setRequestHeader("Connection", "close");
    xmlHttp.onreadystatechange = function ()
    {
        stateChanged(xmlHttp);
    };
    xmlHttp.send(params);
 }

Qu'est-ce que je fais de mal ?

Demandé el 26 de Août, 2011 par sniper

2 votes

Avatar de Joe

Voir : stackoverflow.com/questions/2623963/

Commenté el 26 de Août, 2011 par Joe

0 votes

Avatar de sniper

Hé Joey. Je l'ai parcouru avant de le poster ici. Je ne le reçois toujours pas. Tout ce que j'ai à faire est de commenter les lignes setRequestHeader ?

Commenté el 26 de Août, 2011 par sniper

Réponse

Trop de publicités?

177voto

Wladimir Palant avatar
Wladimir Palant Points 34829

Retirez ces deux lignes :

xmlHttp.setRequestHeader("Content-length", params.length);
xmlHttp.setRequestHeader("Connection", "close");

XMLHttpRequest n'est pas autorisé à définir ces en-têtes, ils sont définis automatiquement par le navigateur. La raison en est qu'en manipulant ces en-têtes, vous pourriez inciter le serveur à accepter une deuxième demande via la même connexion, une demande qui ne passerait pas par les contrôles de sécurité habituels - ce serait une faille de sécurité dans le navigateur.

Répondu el 26 de Août, 2011 par Wladimir Palant (34829 Points )

5 votes

Avatar de doug65536

Que fait la "vulnérabilité" ? Connection: close cause ? Si vous savez qu'une demande va prendre beaucoup de temps, c'est debe Il est possible de demander à ce que la connexion persistante ne soit pas interrompue. Les navigateurs ne supportent pas non plus le pipelining des requêtes, donc si une requête longue arrive avant une requête normale, elle bloquera la deuxième requête pendant toute la durée du keepalive. Si la requête en cours d'exécution pouvait utiliser "Connection : close", il serait alors possible de demander qu'elle ne bloque pas la connexion persistante et ne cause pas (par exemple) un délai inutile de 5 secondes (où 5 secondes est le temps de maintien de la connexion).

Commenté el 15 de Décembre, 2013 par doug65536

3 votes

Avatar de Wladimir Palant

@doug65536 : Les navigateurs ne valident pas les valeurs des en-têtes, ils empêchent simplement la mise en place d'en-têtes avec lesquels vous ne devriez pas jouer.

Commenté el 16 de Décembre, 2013 par Wladimir Palant

0 votes

Avatar de anunixercoder

Bonjour Wladimir, Comment je passe mon paramètre si ces 2 lignes sont supprimées ?

Commenté el 15 de Juillet, 2017 par anunixercoder
Afficher 2 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X