У меня есть конечная точка HTTP, которая вызывается через SDK моего сайта с нескольких других сайтов (withCredentials для моего сайта). Это для целей единого входа / аутентификации.
Всякий раз, когда я проверяю запрос вручную, я всегда вижу включенный заголовок источника.
Однако небольшая, но значительная часть запросов отправляется без заголовка источника. Я не могу отследить один из этих запросов, который не содержит заголовок источника, я только получаю уведомление о том, что они попадают на мой сервер.
Насколько я понимаю, браузеры всегда включают заголовок источника в запросы CORS. Почему некоторые запросы не включают заголовок? Это скриптовые / бот-запросы? Некоторые браузеры не отправляют исходные заголовки?
Если моя конечная точка разрешает учетные данные / происхождение, что мне делать с этими запросами? Просто игнорировать запросы, не содержащие заголовок источника? Должен ли я обновить свой SDK, чтобы он также отправлял источник, а не полагался на заголовок HTTP?