HTTP 中为什么会有 OPTIONS 请求?

已于 2022-03-23 12:27:24 修改
阅读量2.2k 收藏 3
点赞数 1
分类专栏: 网络 面试题 文章标签: http https options
于 2022-03-22 10:09:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1056244734/article/details/123653227
版权
什么是 OPTIONS 请求?为什么会有 OPTIONS 请求?

首先还是看一下官方或者比较官方的定义:

HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法。 --MDN WEB DOCS

同时 OPTIONS 请求具备以下特性:

选项是否允许备注
Request has bodyNo没有请求体
Successful response has bodyNo成功的响应有响应体
SafeYes安全
IdempotentYes密等性,不变性,同一个接口请求多少次都一样
CacheableNo不能缓存
Allowed in HTML formsNo不能在表单里使用

简言之,OPTIONS 请求是用于请求服务器对于某些接口等资源的支持情况的,包括各种请求方法、头部的支持情况,仅作查询使用。来个栗子,

->>> curl -X OPTIONS https://xxxx.com/micro/share/getShareRecord -i

HTTP/1.1 200 OK
Server: nginx/1.13.3
Date: Mon, 30 Jul 2018 12:50:08 GMT
Content-Length: 0
Connection: keep-alive
Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
X-Frame-Options: SAMEORIGIN
Access-Control-Allow-Origin: 0
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: X-Requested-With

通过curl来发送一个http请求,在响应头中可以发现服务器上这个接口对请求方法以及一些header的使用允许情况,也就是上面说的获取服务器对于某些资源的选项、支持情况。

OPTIONS请求方法的主要用途有两个:

1、获取服务器支持的HTTP请求方法;

2、用来检查服务器的性能。 Preflighted Requests是CORS中一种透明服务器验证机制。预检请求首先需要向另外一个域名的资源发送一个 HTTP OPTIONS 请求头,其目的就是为了判断实际发送的请求是否是安全的。例如:AJAX进行跨域请求时的预检,需要向另外一个域名的资源发送一个HTTP OPTIONS请求头,用以判断实际发送的请求是否安全。

这是浏览器给我们加上的,后端并没有做任何操作。

总结

规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。

“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。

当请求满足下述任一条件时,即应首先发送预检请求(使用OPTIONS):

1、使用了下面任一 HTTP 方法:

  • PUT

  • DELETE

  • CONNECT

  • OPTIONS

  • TRACE

  • PATCH

2、跨域请求,非跨域请求不会出现options请求(CORS 跨域资源共享),人为设置了对 CORS 安全的首部字段集合之外的其他首部字段。该集合为:

  • Accept

  • Accept-Language

  • Content-Language

  • Content-Type (but note the additional requirements below)

  • DPR

  • Downlink

  • Save-Data

  • Viewport-Width

  • Width

3、Content-Type 的值不属于下列之一:

  • application/x-www-form-urlencoded

  • multipart/form-data

  • text/plain

青颜的天空
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决在Vue使用axios POST请求变成OPTIONS的问题
10-14
主要介绍了解决在Vue使用axios POST请求变成OPTIONS的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
操作系统安全:IIS简介.pptx
06-01
IIS简介;IIS;IIS的安全脆弱性曾长时间被业内诟病,一旦IIS出现远程执行漏洞威胁将非常严重。 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) ,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文执行任意代码,可以导致IIS服务器所在机器蓝屏或读取其内存的机密数据。;接受指定协议请求,把他们发给IIS处理,然后把响应结果返回给请求方。 服务和程序除了能监听HTTPHTTPS协议外,还可以监听非HTTP协议,如TCP,可以使用其他技术,如WCF。;HTTPHTTPS协议监听器—HTTP.sys(HTTP协议栈),是Windows操作系统网格子系统的一部分,作为内核模式设备驱动实现的,其实是TCP之上的一个网络驱动程序。用来监听来自HTTP请求,把请求传送给IIS处理,并将处理结果返回给客户端浏览器。;缓存响应能够被直接返回到客户端,无需再交给到用户模式处理。由于内核直接将请求交给当前工作进程,因此请求在上下文切换方面耗费更少的开销。如果没有工作进程能够接收这个请求,内核模式请求
你真的知道 HTTP OPTIONS 方法的作用吗?
最新发布
路多辛的所思所想
04-11 1196
根据 RFC 7231规范定义,HTTP OPTIONS 方法是一个“用于获取针对特定资源的 HTTP 请求方法或 URI 的通信选项”的请求方法。简单来说,当客户端发送一个 OPTIONS 请求到服务器时,是在询问:“对于这个特定的URL,服务器能处理哪些 HTTP 方法或者有哪些特殊的限制或要求”。
Vue使用axios出现options请求方法
10-16
主要介绍了Vue使用axios出现options请求,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Web应用安全:HTTP协议GET和POST的使用区别文本.docx
06-17
HTTP协议GET和POST的使用区别 摘 要:浅谈HTTPGET、POST用法以及它们的区别 关键词: HTTP协议、POST方法、GET方法、区别 HTTP方法 HTTP定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符。我们可以这样认为:?一个URL地址,它用于描述一个网络上的资源,而HTTP的GET,POST,PUT,DELETE就对应着对这个资源的?查,改,增,删?4个操作。到这里,大家应该有个大概的了解了,GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。那么,除了上面说的四种方法,HTTP还有其它方法么?其实HTTP定义了以下几种请求方法: GET方法; POST方法; PUT方法; DELETE方法。 HEAD方法; TRACE方法; OPTIONS方法; Get是最常用的方法,通常用于请求服务器发送某个资源,而且应该是安全的和幂等的。 (1). 所谓安全是指该操作用于获取信息而非修改信息。换句话说,GET 请求一般不应产生副作用。就是说,它仅仅是获取资源信息,就像数据库查询一样,
Burp-Suite-安全测试操作手册
03-15
什么是Burp Suite?Burp Suite是用于攻击 web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 Burp Suite能高效率地与单个工具一起工作,例如: 一个心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。 在一个工具处理 HTTP请求和响应时,它可以选择调用其他任意的 Burp工具。例如,代理记录的请求可被 Intruder用来构造一个自定义的自动攻击的准则,也可被 Repeater用来手动攻击,也可被 Scanner用来分析漏洞,或者被 Spider(网络爬虫)用来自动搜索内容。应用程序可以是”被动地”运行,而不是产生大量的自动请求。Burp Proxy把所有通过的请求和响应解析为连接和形式,同时站点地图也相应地更新。由于完全的控制了每一个请求,你就可以以一种非入侵的方式来探测敏感的应用程序。 当你浏览网页(这取决于定义的目标范围)时,通过自动扫描经过代理的请求就能发现安全漏洞。
http请求OPTIONS 详解
fds技术枭牛
04-30 2万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
vue+axios+java 后台 header 里面加入权限 调用接口不通
qq_37324690的博客
09-28 1739
当vue  前台使用  axios  时   向后台 传入的header  里面有自定义的值时 get和post请求请求两次 第一次是option    请求调用option 的条件 规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发...
HTTPoptions请求
dong123ohyes的专栏
09-12 6657
一、HTTP一共有八种常见请求方法 get:参数在url上,浏览器长度有限制,不安全 post:参数不可见,长度不受限制 put:上传最新内容到指定位置 delete:删除请求的url所表示的资源 head:不返回相应主体,主要用于客户端查看服务器性能 options:与head类似,是客户端用于查看服务器的性能 。JavaScript的XMLHttpRequest对象进行CORS跨域资源共享时,就是使用OPTIONS方法发送嗅探请求,以判断是否有对指定资源的访问权限 connect:http
Vue项目通过axios设置通用header
weixin_42555053的博客
12-03 5254
一般情况下我们设置header都是在axios的响应拦截器进行设置,如下面代码所示: axios.interceptors.request.use(function(config){ //比如是否需要设置 token config.headers.token='eysasmdsakwnfnasdklasj' return config }) 不过我们可以试想一下axios有没有提供给我们一个一劳永逸的方法,设置或删除某个特定的header呢,让它在每次请求都出现。 axios文档恰好有相关设
Web应用安全:HTTP方法.pptx
06-17
HTTP方法 HTTP方法 HTTP/1.1协议共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法 1、HTTP请求的方法 HTTP方法 1、HTTP请求的方法 HTTP方法 2、GET和POST比较 GET POST 点击返回/刷新按钮 没有影响 数据重新提交 缓存/添加书签 可以 不可以 历史记录 有 没有 编码类型 application/x-www-form-urlencoded application/x-www-form-urlencoded 或 multipart/form-data。为二进制数据使用 多重编码 是否幂等 幂等 非幂等 HTTP方法 2、GET和POST比较 GET POST 长度限制 http协议没有限制,但是实际浏览器或服务 器有(最大2048) 理论上没有,可能收到服务器配置或内存限制 数据类型限制 只能ASCII
解决axios发送两次请求,有个OPTIONS请求的问题
10-17
主要介绍了解决axios发送两次请求,有个OPTIONS请求的问题,需要的朋友可以参考下
解决在Laravel 处理OPTIONS请求的问题
10-16
今天小编就为大家分享一篇解决在Laravel 处理OPTIONS请求的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
什么情况下发送 OPTIONS 请求
weixin_43487782的博客
03-02 1372
什么情况下发送 OPTIONS 请求? 当一个请求跨域且不是简单请求时就发送 OPTIONS 请求 这里要注意两个问题: 1. 请求跨域 一般常见形式是 CORS 跨域; nginx 代理转发对浏览器而言没有跨域; 2. 简单请求:满足下列条件的请求可以视为简单请求 使用下列方法之一: GET HEAD POST Content-Type 的值仅限于下列三者之一: text/plain multipart/form-data application/x-www-form-urlencod
options请求_Http协议:什么情况下发生了options请求
weixin_39889642的博客
11-27 889
背景:新来的同事问我,我的项目出现了很多options请求,然后后台服务都挂了,我不知道如何处理;http协议其实通过http方式我们最常用的就是:GET,POST; 他们都可以作为前端和后台的数据交换使用;options在什么情况下出现跨域调用,例如:调试时候很多情况都在跨越方式下调试;自定义头部请求头的content-type参数:application/x-www-form-urlenc...
options请求(跨域预检)
热门推荐
weixin_45943355的博客
06-10 3万+
options 请求就是预检请求,可用于检测服务器允许的 http 方法。当发起跨域请求时,由于安全原因,触发一定条件时浏览器在正式请求之前自动先发起 OPTIONS 请求,即 CORS 预检请求,服务器若接受该跨域请求,浏览器才继续发起正式请求。...
为什么OPTIONS请求
liuqinhou的博客
01-02 960
网络
1.Python如何拦截options请求
07-16
要拦截OPTIONS请求,可以使用Flask提供的装饰器`@app.route`来指定拦截的URL,并且将请求方法指定为"OPTIONS"。 下面是一个示例代码: ```python from flask import Flask app = Flask(__name__) @app.route('/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值