1、Host 表示当前请求要被发送的目的地，说白了就是当前请求目标资源的host，仅包括域名和端口号，如test.haoji.me。在任何类型请求中，request都会包含此header信息。 2、Origin 表示当前请求资源所在页面的协议和域名，如http ...

1. host1.1 定义Host 请求头指明了请求服务器的域名/IP地址和端口号。 组成：域名+端口号 例子：test.com:1998 如果没有给定端口号，会自动使用被请求服务的默认端口（比如请求一个HTTP的URL会自动使用80端口）。 HTTP/1.1 的所有请求报文中必须包含一个 ...

1. Host 描述请求将被发送的目的地，只含域名和端口号； 2. Origin 请求是从哪里发起的，包括域名和端口号，这个参数一般存在于CORS跨域请求中，可以看到response有对应的header: Access-Control-Allow-Origin 3.Referer 告知服务器 ...

参考： https://blog.csdn.net/houdabiao/article/details/83058351 https://zhuanlan.zhihu.com/p/22521378 ...

为了防止CSRF的攻击，我们建议修改浏览器在发送POST请求的时候加上一个Origin字段，这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里，那么在发送的请求里面Origin字段的值就为空。隐私方面：这种Origin字段的方式比Referer更人性化 ...

Host 客户端请求的服务器的域名和端口号(其中端口号是可选的，如果没有就根据协议来默认端口号，如http是80，https是443) Referer 请求来源页面的地址，包括协议、域名、端口号、url参数(不包括hash参数) 服务器判断请求来源一般用这个字段 Origin 请求来源于 ...

referer显示来源页面的完整地址，而origin显示来源页面的origin: protocal+host，不包含路径等信息，也就不会包含含有用户信息的敏感内容 referer存在于所有请求，而origin只存在于post请求，随便在页面上点击一个链接将不会发送origin 因此origin ...

0x01 前言 最近在进行CSRF测试的时候遇到了数据包的请求头里有origin与referer，实际测试的时候，我发现只删除referer依然可以正常发起请求，但是删除origin之后就会提示没有权限进行该操作了。于是，我想了解一下这两者的区别。 0x02 referer 两者都表示“来源 ...