当请求缺少来源 header 时,使用的正确 HTTP 错误代码是什么?

What's the proper HTTP error code to use when request is missing origin header?

我正在设计一个 API 并且访问某些端点的要求是必须在请求中设置 Origin header。我拒绝以下请求:(a) 完全缺少 header 或 (b) 从不在指定 white/allowlist.

中的来源发送请求

当我拒绝不符合这些条件的请求时,正确的 HTTP 错误代码是什么?我最初认为 401 or 403, but there's not any true authentication/authorization issue in these cases. 400 感觉太笼统了。是否有针对此场景的更具体的代码?

400 可能感觉“太笼统”,但我认为它适用于您拒绝不完整或其他错误请求的确切场景。