Стоит ли устанавливать Vary: Origin при разрешении любого происхождения CORS (*)?

Question

Для сервера, поддерживающего CORS и желающего максимально эффективно обрабатывать кэширование, необходимо установить Vary: Origin, если вы знаете, что ответы CORS никогда не изменятся в зависимости от источника запроса через Access-Control-Allow-Origin: *?

Я прочитал несколько руководств по этому вопросу, и большинство рекомендует использовать Vary: Origin, но в обычном случае CORS явного разрешения любого источника это кажется неэффективным и ненужным.

Спасибо!

Answer 1

Если ваши ответы не меняются в зависимости от заголовка Origin, то вам нужно оставить его вне Vary.

Варь специально для заголовков, которые изменяют ответ.

Например, если ваш клиент может использовать заголовок запроса Accept и, в зависимости от значения, сервер может вернуть разные данные, тогда вам нужно Vary: Accept.