CORS(跨域资源共享)由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端JavaScript代码获取跨域请求的响应。
浏览器将CORS请求分成两类,简单请求和非简单请求。
简单请求需要同时满足以下两个条件:
1、使用以下方法
post
get
head
2、请求头(不得人为设置)
Accept Accept-Language
Content-Language
Content-Type:只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain
如果不能同时满足,就是非简单请求。
非简单请求包括PUT、DELETE、OPTIONS请求。非简单请求,浏览器就会发起OPTIONS预检请求。
浏览器限制跨域
浏览器限制跨域请求一般有两种方式:
1、限制发起跨域请求
2、跨域请求可以正常发起,但是返回的结果会被浏览器拦截
一般情况下,浏览器会以第二种方式限制跨域请求。这种存在一种情况,就是请求已经到达服务器并响应了某些操作,改变了数据库数据,但是返回的结果会被浏览器拦截,用户就不能取到相应的结果进行后续的操作。所以为了避免这种情况,浏览器就会通过OPTIONS方法对请求进行预检,通过询问服务器是否允许这次请求,允许之后,服务器才会响应真实请求,否则就阻止真实请求。
项目中需要OPTIONS预检吗?
用户登陆之后,我们会获取token值,在每一次发起请求时,请求头都会携带这个token值,所以会触发预检请求。因为目前除了登录,其他请求接口请求头都携带了token,而且我们的Content-Type绝大多数是application/json,所以预检总会存在。如果不想发起OPTIONS预检请求,建议后端在请求的返回头部添加:Access-Control-Max-Age:(number)。