Dio Web 端请求头缺失问题分析与解决方案

问题背景

在使用 Flutter 的 Dio 网络库进行文件下载时，开发者发现 Web 平台和原生平台获取到的响应头存在差异。具体表现为 Web 端无法获取到 content-disposition 等重要响应头信息，而原生平台则可以正常获取。

问题现象

当通过 Dio 发起文件下载请求时：

• 原生平台：可以获取完整的响应头，包括 content-disposition 等关键信息
• Web 平台：只能获取到部分基础响应头，如 cache-control、content-length 等，缺少 content-disposition 等重要头信息

根本原因分析

这个问题实际上与 Dio 库本身无关，而是由 浏览器安全策略 导致的。具体来说：

1. CORS (跨域资源共享) 机制：浏览器对跨域请求有严格的安全限制
2. 预检请求 (Preflight Request)：对于可能影响服务器数据的跨域请求，浏览器会先发送 OPTIONS 请求进行预检
3. 响应头暴露限制：即使服务器返回了所有响应头，浏览器默认只会暴露基本的 CORS 安全列表响应头

解决方案

要使 Web 端能够访问额外的响应头，服务器需要明确声明允许暴露哪些头信息：

1. 服务器配置：在响应中添加 Access-Control-Expose-Headers 头，列出需要暴露给前端的头信息

   例如，要暴露 content-disposition 头：

   Access-Control-Expose-Headers: content-disposition
   

2. 多头部暴露：如果需要暴露多个头，可以用逗号分隔：

   Access-Control-Expose-Headers: content-disposition, x-custom-header
   

实现示例

Nginx 服务器配置示例

location /Files/ {
    add_header 'Access-Control-Expose-Headers' 'content-disposition';
    # 其他配置...
}

Node.js Express 示例

app.get('/Files/some_file', (req, res) => {
    res.setHeader('Access-Control-Expose-Headers', 'content-disposition');
    // 其他响应设置...
});

注意事项

1. 安全性考虑：不要随意暴露敏感头信息
2. 缓存问题：修改服务器配置后可能需要清除浏览器缓存
3. 测试验证：使用浏览器开发者工具检查响应头是否已正确暴露

总结

Web 平台由于浏览器安全策略的限制，默认不会暴露所有响应头给前端代码。通过正确配置服务器的 Access-Control-Expose-Headers 响应头，可以解决 Dio 在 Web 端获取不到完整响应头的问题。这个问题很好地展示了 Web 平台与原生平台在网络请求处理上的差异，也提醒开发者在跨平台开发时需要特别注意这些平台特性。