referer显示来源页面的完整地址,而origin显示来源页面的origin: protocal+host,不包含路径等信息,也就不会包含含有用户信息的敏感内容
referer存在于所有请求,而origin只存在于post请求,随便在页面上点击一个链接将不会发送origin
因此origin较referer更安全,多用于防范CSRF攻击。