HTTP请求OPTION方法

 HTTP请求方法并不是只有GET和POST,只是最常用的。据RFC2616标准(现行的HTTP/1.1)得知,通常有以下8种方法:OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT。
OPTIONS请求方法的主要用途有两个:
1、获取服务器支持的HTTP请求方法;也是黑客经常使用的方法。
2、用来检查服务器的性能。例如:AJAX进行跨域请求时的预检,需要向另外一个域名的资源发送一个HTTP OPTIONS请求头,用以判断实际发送的请求是否安全。                        

 

通过这个请求能知道服务器支持那些请求,例如PUT,这种很可能通过PUT进行上传,DELETE能直接删除文件,这才是重要的风险点。

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如果想在 AJAX 请求中禁用 OPTIONS 请求,可以尝试以下方法: 1. 使用 jQuery 封装的 AJAX 方法 在使用 jQuery 封装的 AJAX 方法时,如果请求方法为 `POST`、`PUT`、`DELETE` 等非简单请求时,jQuery 会自动将请求方法设置为 `POST`,并在请求头中添加 `X-Requested-With` 和 `X-HTTP-Method-Override` 两个字段,来模拟 PUT/DELETE 方法。这样就可以避免浏览器发送 OPTIONS 请求了。 例如: ``` $.ajax({ url: 'http://example.com/api/user/123', type: 'PUT', data: JSON.stringify({ name: 'Alice' }), contentType: 'application/json', beforeSend: function(xhr) { xhr.setRequestHeader('Authorization', 'Bearer ' + token); }, success: function(data) { console.log(data); } }); ``` 2. 在请求头中添加 `X-HTTP-Method-Override` 字段 如果不想使用 jQuery 封装的 AJAX 方法,可以手动在请求头中添加 `X-HTTP-Method-Override` 字段,并将请求方法设置为 `POST`,然后在服务器端根据该字段的值来判断真正的请求方法。这样也可以绕过浏览器发送 OPTIONS 请求的限制。 例如: ``` const xhr = new XMLHttpRequest(); xhr.open('POST', 'http://example.com/api/user/123'); xhr.setRequestHeader('Content-Type', 'application/json'); xhr.setRequestHeader('Authorization', 'Bearer ' + token); xhr.setRequestHeader('X-HTTP-Method-Override', 'PUT'); xhr.send(JSON.stringify({ name: 'Alice' })); ``` 在服务器端应该可以获取到 `X-HTTP-Method-Override` 字段的值,并根据该值来判断真正的请求方法。 需要注意的是,禁止发送 OPTIONS 请求可能会破坏 CORS 的安全机制,因此建议在需要的情况下使用,不要滥用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值