microsoft management cors cdn amazon-cloudfront azure-cdn

management - ¿Por qué no se establece la respuesta ''Variar: Origen'' en una falla CORS?



http portal azure (1)

Sí. Si una solicitud puede contener un Access-Control-Allow-Origin con diferentes valores, entonces la CDN siempre debe responder con Vary: Origin , incluso para las respuestas sin un encabezado Access-Control-Allow-Origin . Su análisis es correcto: si el encabezado no está siempre presente, sería posible llenar el caché con valores incorrectos.

Al realizar una solicitud CORS, si el Origen solicitado está en la lista de orígenes permitidos, la respuesta contiene tanto el encabezado Access-Control-Allow-Origin encabezado Vary: Origin .

La variante: el origen indica a los CDN posteriores, etc., que la respuesta se negoció en función del valor del encabezado de origen del solicitante.

El problema es (y he probado los proveedores de CDN principales), es que si el solicitante no proporciona un encabezado de Origen en su solicitud, o un valor de Origen que no es uno de los permitidos, la respuesta no incluye el Variar: Origen en la respuesta.

¿Un CORS de preformado CDN debería responder siempre con Vary: Origin en los encabezados de respuesta? Si no lo hace, un CDN consideraría que puede ofrecer la misma respuesta a cualquier valor de Origen. Entonces, nuevamente, sería posible llenar un caché de CDN haciendo muchas solicitudes con valores de origen aleatorios.