Was ist der richtige HTTP-Fehlercode, der verwendet werden soll, wenn der Anforderung der Ursprungsheader fehlt?

Ich entwerfe eine API und eine Voraussetzung für den Zugriff auf einige Endpunkte ist, dass Origin-Header in der Anfrage festgelegt werden muss. Ich lehne Anfragen ab, bei denen entweder (a) der Header vollständig fehlt oder (b) Anfragen von einem Ursprung gesendet werden, der nicht auf einer bestimmten Whitelist/Zulassungsliste steht.

Wie lautet der richtige HTTP-Fehlercode, wenn ich Anfragen ablehne, die diese Kriterien nicht erfüllen? Ich dachte anfangs an 401 oder 403, aber in diesen Fällen gibt es kein echtes Authentifizierungs-/Autorisierungsproblem. 400 fühlt sich zu allgemein an. Gibt es einen spezifischeren Code für dieses Szenario?


1
24
1

Antwort:

Gelöst

Der 400er mag sich "zu allgemein" anfühlen, aber ich denke, er ist genau für dieses Szenario gedacht, in dem Sie unvollständige oder anderweitig schlechte Anfragen ablehnen.