跨域请求的OPTIONS问题

最新推荐文章于 2024-06-20 09:00:00 发布
最新推荐文章于 2024-06-20 09:00:00 发布
阅读量2.3w 收藏 19
点赞数 4
分类专栏: JAVA JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/achang07/article/details/79380990
版权

今天在做项目的时候,有一个问题折腾了大半天。
前后端分离的项目,前端独立启动,端口号为1024;后端为微服务架构,前端部署一个网关服务,端口号7001。前后端都启动以后,前端向后端发送请求属于跨域,在登录完成以后前端会设置请求头Authorization将token带入,但是在后端的过滤器中却发现获取不到Authorization。

问题定位

前端是通过ajax发送的rest请求,将所有可能发生问题的地方逐步注释掉以后,还是没有定位到问题的原因。
没有办法,启动Fiddler,然后模拟发送请求,带入Authorization请求头:

GET http://127.0.0.1:7001/normdb/dbConfig/list HTTP/1.1
User-Agent: Fiddler
Authorization: 123
Host: 127.0.0.1:7001

在IDE中设置断点,拦截请求,查看请求头信息,发现请求头是可以被接收到的。
从上面的分析,判断应该不是后台服务的问题。

然后重新启动前端,发送请求,在Fiddler中抓包分析。奇怪的情况就这么出现了:
请求信息
请求中的授权信息
从上面的两张图看出,Authorization请求头没有被添加到请求中。
老眼昏花看了半天,也没有发现问题所在。过了好长时间才终于发现了端倪,这个被抓包的请求的请求方法是OPTIONS,但是我前端明明使用的是GET的ajax方法。
直觉告诉我,这应该就是问题所在!!

OPTIONS分析

度娘一把,果然你所踩到的坑前辈们都已经踩过了。
W3C规范:跨域请求中,分为简单请求和复杂请求;所谓的简单请求,需要满足如下几个条件:
- GET,HEAD,POST请求中的一种;
- 除了浏览器在请求头上增加的信息(如Connection,User-Agent等),开发者仅可以增加Accept,Accept-Language,Content-Type等;
- Content-Type的取值必须是以下三个:application/x-www-form-urlencoded,multipart/form-data,text/plain。

在发出复杂请求的之前,就会出现一次OPTIONS请求。
OPTIONS请求可以被称作一次嗅探请求,通过这个方法,客户端可以在采取具体的资源请求之前,决定对资源采取何种必要措施。
由于我的问题出现在请求内容为json的时候,所以是复杂请求,提前进行了一次OPTIONS请求。
这个OPTIONS请求中没有增加我们的Authorization请求头,所以就无法通过我们的网关,在网管的地方被拦截下来了,返回了401。

解决办法

目前的项目中,不需要考虑的太复杂,简单处理就是放行OPTIONS请求。
在普通Filter中先通过request获取到method,然后判断OPTIONS后放行;
在ZuulFilter的shouldFilter中,判断OPTIONS直接返回false即可。

会者不难,难者不会!!

achang07
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
跨域请求处理与跨域之OPTIONS请求
GUYyyy的博客
03-10 1494
跨域即跨域资源共享(CROS),发生在一个资源区请求不同域名的资源或同域名不同端口的资源时。 正常的解决方式: @Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); //允许所有域名进行跨域调用 config.addAl.
前端解决请求跨域问题
weixin_52375544的博客
04-28 815
一、跨域的原因 是由浏览器同源策略限制的一类请求场景 同源策略:为防止浏览器受到XSS、CSFR等攻击;同源是指"协议+域名+端口"三者相同; 二、 常见跨域场景 同域名,不同端口; 同域名,不同协议; 域名和域名对应相同ip; 主域相同,子域不同; 不同域名 三、 解决方案 通过jsonp跨域 原生实现: <script> var script = document.createElement('script'); script.type = 'text/javascrip
解决跨域Axios发起的跨域预检OPTIONS请求,无法正确通过Sa-Token的SaInterceptor路由拦截鉴权问题
m0_65112487的博客
03-02 1583
OPTIONS请求中,不会携带请求头的参数,导致SaInterceptor中如等鉴权操作无法读取到token而错误拦截请求
前后分离后端获取不到Token
mclt2017的博客
07-01 1550
跨域问题。 如果项目涉及到跨域,浏览器访问服务端会先后发送两次请求, 第一次请求OPTIONS请求,作用是查看服务端是否支持跨域,该请求中不会携带我们需要的token信息; 如果支持跨域,那么就会发出第二次请求,这第二次请求才是我们常用的GET/POST请求,才会携带我们的token。 如果不支持跨域,那么第二次请求就不会发了。 所以我们在拦截器里,直接放行OPTIONS请求即可 ,加上这一段代码 //如果是OPTIONS请求 直接放行 String me
说说你对options请求的理解
最新发布
Orzak的博客
06-20 1512
MDN 中的一段描述:HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法。简单来说,就是可以用 options 请求去嗅探某个请求在对应的服务器中都支持哪种请求方法。在前端中我们一般不会主动发起这个请求,但是往往你可以看到浏览器中相同的请求发起了 2 次,如图:其实,这是因为在跨域的情况下,在浏览器发起"复杂请求"时主动发起的。
【SpringBoot】MVC配置解决跨域但仍然存在跨域
沉迷写代码的程序猿的博客
11-26 2595
因此,应该是因为OPTIONS请求未携带token,被SpringMCV的拦截器拦截下来,导致预检请求(CORS 预检请求)未成功,因此报了跨域错误。通过后端日志发现两个无token均为OPTIONS请求,并且两个OPTIONS请求均无通过拦截器,因此我。发现后端已经允许跨域了。这里出现了两次缺少token,检查浏览器网络信息。第二个请求并无token,并且状态码为500。第一个请求携带了token,但是并未成功请求。发现这里有两次请求,点开第一个请求。在拦截器中打印一下请求的方式。
Springboot 前后端分离项目中使用拦截器获取不到token或者token为空的问题OPTION请求被拦截问题
weixin_45609613的博客
05-05 2512
目是前后端分离的,并且springboot也配置了跨域功能。但是配置了JWT功能、以及验证器验证之后却出现了获取不到jwt的问题。获取参数为 null。并且全局异常拦截失效,前端响应为cors跨域问题获取不到数据。使用postman可以正常请求并获取数据,考虑到是不是因为自己header中的jwt字段不是标准的header字段,尝试放到Authorization中也是null,并且全局拦截也是失效的。
关于springMVC拦截器拦截option请求问题
qq_37099009的博客
10-24 3439
前台访问后台,会带option请求。 后台的拦截器若将option请求进行权限拦截,真正的请求就不进行发送 所以后台需要对option请求放行。 在拦截器里,调用这个方法,能获得这次拦截的方法类型。 request.getMethod().toString() if("OPTIONS".equals(request.getMethod().toString()))return super.pr...
Python Tornado之跨域请求Options请求方式
09-17
解决跨域问题,Tornado可以通过设置响应头`Access-Control-Allow-*`字段来允许特定的跨域请求。例如,在BaseHandler类中,设置`set_default_headers`方法: ```python class BaseHandler(tornado.web....
gin跨域支持options请求
10-10
gin跨域支持options请求。亲测可用啊,这个是一个大佬发给我的
Springboot解决ajax+自定义headers的跨域请求问题
10-16
这导致了在处理跨域请求时的一些挑战,尤其是在使用AJAX和自定义headers时。Spring Boot作为流行的Java后端框架,提供了优雅的解决方案来处理这类问题。 首先,我们来理解什么是跨域。跨域是指一个域下的文档或脚本...
django解决跨域请求问题详解
09-19
在Web开发中,跨域请求(Cross-Origin Request)是一个常见的问题,它涉及到浏览器的安全策略,不允许JavaScript从一个源(Origin)向另一个源发送HTTP请求,除非两个源完全相同。Django是一个流行的Python Web框架...
完美解决axios跨域请求出错的问题
08-28
"完美解决axios跨域请求出错的问题" 一、什么是跨域请求? ------------------ 跨域请求是指在浏览器中,由于同源策略的限制,无法直接向不同域名或端口下的服务器发送请求,从而导致ajax请求失败。例如,在...
对于Ajax请求出现Options请求解决方法(Fiddler)
往前的娘娘
05-25 2万+
今天突然通过Ajax调用接口出现异常,居然有Options请求,当然了解过,没有实际遇到,后来查询各种得到对于复杂请求它会先进行Options请求,用来试水,如果试水成功,继续真正的请求,否则终止请求,逻辑没有毛病。可是如果服务器没有对于Options适当回应就尴尬,如果在Options就出现403这种影响应该怎么办? 怎么继续跑下去? 1、Options出现 发生一次Opt...
.net core api发布IIS之后,预请求(OPTIONS)失败解决方案
Marray000的博客
04-17 1313
项目场景: .net core api开发的后端接口,发布到IIS 问题描述 跨域请求成功,GET请求可以获取数据。但是预请求(OPTIONS)请求失败 解决方案: 通过新建中间件来处理options请求。具体操作: 1、新建一个中间件类OptionsRequestMiddleware.cs using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Http; using System; using System
【原创】OPTIONS请求跨域请求被阻止(原因:CORS预检通道未成功)解决方案 超神!牛逼!
RubyXun's-Blog
06-02 4498
前后端交互:OPTIONS请求跨域失败问题
OPTIONS请求时设置了Header请求token可是后台接收不到,为什么?
热门推荐
code_monkey的博客
12-29 20万+
人工智能,零基础入门!http://www.captainbed.net/inner 1、首先,说一下我们的项目情况,我们项目中后端有一个拦截器,如果必须要登录的接口路径会被拦下来检查,前端要传一个token【我们项目中叫sessionId】,然后后端根据这个token来判断redis中这个用户是否已经登录。 2、但是现在问题出现了,就是这个sessionId就是死活传不过来,试了各种办法...
前端发送请求时,携带身份标识
zhengyun1568的博客
11-07 570
在main.js中 import { getCookie } from './utils' import Axios from 'axios' Axios.defaults.headers.common['Authorization'] = getCookie() 当我们写完后会发现,前端同一个请求会发送两次。第一次以OPTIONS请求发送,options请求是预检,用来判断实际发送的请求是否...
axios发送options请求问题
6块腹肌的博客
09-28 1127
在项目过程中,发现某个请求一直无法成功,查看发现多了一个options请求,而该请求也一直没有响应。在网上查看了相关的资料,这是由浏览器发起的预检请求,目的是验证服务器是否支持自定义请求头,最后解决方案还是让后端过滤掉这个请求问题才得以解决。 ...
https跨域时的options请求
06-28
### 回答1: 当使用HTTPS进行跨域请求时,浏览器会先发送一个OPTIONS请求,以确认服务器是否允许跨域请求。这个OPTIONS请求包含了一些请求头信息,例如Origin、Access-Control-Request-Method、Access-Control-Request-Headers等。服务器需要根据这些请求头信息,返回一个响应头信息,例如Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等。只有当服务器返回的响应头信息中包含了Access-Control-Allow-Origin,且值为请求头中的Origin时,浏览器才会发送真正的跨域请求。 ### 回答2: 在进行跨域请求时,浏览器会先发送一个OPTIONS请求,以确认对方服务器是否支持跨域请求,并确定哪些请求方式和头部信息可以被允许。这种请求被称为“预检请求(Preflight Request)”。 OPTIONS请求的HTTP方法是一种请求方式,它类似于GET、POST、PUT、DELETE等常见的HTTP请求方法,但它的目的不是获取资源,而是对服务器发起一个探测性请求,以获取服务器对跨域请求的支持情况,从而安全地执行跨域请求OPTIONS请求一般包含如下信息: 1.请求方式:OPTIONS 2.请求头部信息:包括请求的URL、协议版本、请求的Host、Origin(指请求方的域名或IP地址)、Access-Control-Request-Method、Access-Control-Request-Headers(指发送请求时携带的自定义头部信息),这些数据将告诉对方服务器,请求方的支持是否满足对方服务器的要求。 3.响应头部信息:对方服务器从请求头部信息中获取到了想要的信息之后,会回复一个响应头部信息,包括允许 CORS 的 Origin、支持的HTTP请求方法、支持的头部信息等等。 在进行跨域请求时,浏览器会先发送一个OPTIONS请求,以确认对方服务器是否支持跨域请求,并确定哪些请求方式和头部信息可以被允许。这种请求被称为“预检请求(Preflight Request)”。 对于接收到OPTIONS请求的服务器,如果它允许跨域请求,就会在响应头中加入Access-Control-Allow-Origin、Access-Control-Allow-Methods等字段来告诉浏览器可以进行跨域请求。如果不允许跨域请求,则响应头中不会包含这些字段。 ### 回答3: 在进行跨域请求时,浏览器会先发送一个options请求来询问服务器是否允许跨域请求,并携带自身的请求方法、请求头、请求域等信息。这样可以避免在真正发送请求时发生意外的错误。 Options请求通过http请求头中的"Access-Control-Request-Method"和"Access-Control-Request-Headers"字段,告知服务器客户端想要采用的请求方式和请求头。如果服务器允许客户端使用这些方式,它会在返回的响应头中添加"Access-Control-Allow-Methods"和"Access-Control-Allow-Headers"字段,指明允许的请求方式和请求头,同时也可以指定允许跨域请求的域名。 此外,还可以通过"Access-Control-Max-Age"字段指定响应信息在客户端浏览器本地缓存的时间,减少重复的Options请求。 如果服务器不允许客户端进行跨域请求,响应头中会包含"Access-Control-Allow-Origin"字段并设置为"*",表示拒绝所有跨域请求。这时,浏览器会收到一个403 Forbidden错误。 需要注意的是,在进行跨域请求时,请求前端也需要在请求头中添加Origin字段,告知服务器此请求的源地址。这样服务器才能知道这个请求是否来自允许跨域请求的源,并进行相应的处理。如果没有这个字段,服务器会认为这是两个不同的域名之间的普通请求,导致跨域请求失败。 因此,了解Options请求的原理和具体操作可以帮助我们在进行跨域请求时更加顺利地处理跨域问题,提高开发效率和用户体验。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值