跨域的请求在服务端会不会真正执行?

最新推荐文章于 2023-01-02 20:49:25 发布
最新推荐文章于 2023-01-02 20:49:25 发布
阅读量420 收藏
点赞数 1
文章标签: 跨域
原文链接:https://mp.weixin.qq.com/s/-ahsfKWbRZq8U7epjJGk_w
版权

上周在群里提了个问题,这是我平时面试经常会问到的一个问题,引起了大家非常激烈的讨论。
![](https://img-blog.csdnimg.cn/img_convert/b480fa65dbf32cdf480a3bf0457c977d.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=u036f8c78&margin=[object Object]&originHeight=1091&originWidth=1080&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=ude3e5a2b-b82c-43a7-b412-b0b340d9c9d&title=)
![](https://img-blog.csdnimg.cn/img_convert/56664fd788f8375e204598d30ed5aba5.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=u4f258457&margin=[object Object]&originHeight=1322&originWidth=946&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=ubefac596-7ad2-4b6f-ae7b-05c11bb0cbc&title=)
这个问题看似简单,但是其实这一个问题就足以看出大家对跨域的理解,如果平时只是了解了个概念, 那这个问题大概率不会答的那么好。
先揭晓一下答案,请求有的时候会被执行,有的时候不会执行。
![](https://img-blog.csdnimg.cn/img_convert/9c1049712fb976fb758ecde5bc1f7e29.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=u5f0e8976&margin=[object Object]&originHeight=225&originWidth=225&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=u8bdcfca9-e269-49de-a376-33b4a7edf62&title=)
那啥时候会执行,啥时候不会执行呢?其实这个问题主要要从以下几个方面去考虑:

  • 跨域究竟是谁的策略?
  • 在什么时机会拦截请求?
  • 究竟什么时候会发预检请求?
  • 如果有预检,请求什么时候会被真正执行?

跨域请求的拦截

有同学上来就答,一定不会执行的,请求在服务端就会被拦截!
这回答张口就来啊,先想想,服务端有什么责任和义务对跨域的请求做拦截呢?
首先我们俗称的跨域,也就是浏览器的 同源策略,直接看 MDN 的解释吧:
![](https://img-blog.csdnimg.cn/img_convert/759e57f51e1507227af36c0884272137.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=u7f2d191b&margin=[object Object]&originHeight=518&originWidth=1080&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=ud0f3e273-8f48-42e5-9a1b-bc805dc4976&title=)
人家那么大个标题告诉你了,这很明显是个浏览器的策略啊,干服务端啥事呢?
如果服务端拦截,那每个每个 Server 都要专门要为浏览器实现一个拦截策略,这根本不现实。
另外,服务端就算是想拦截,也没法判断请求是否跨域,HTTP Reqeust 的所有 Header 都是可以被篡改的,它用什么去判断请求是否跨域呢?很明显服务端心有余而力不足啊!
![](https://img-blog.csdnimg.cn/img_convert/8dea260ad1e80e71021260717c900213.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=u9f36166d&margin=[object Object]&originHeight=410&originWidth=440&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=u96055d5b-2906-4ad7-9814-3aca008626f&title=)

在什么时候拦截

好了,知道服务端不会拦截了,有小朋友又跳出来抢答了:请求在浏览器发出去之前就被浏览器拦截了,请求根本发不出去!
![](https://img-blog.csdnimg.cn/img_convert/d6786a2d53bd54034689a154215a25ac.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=ud12431e6&margin=[object Object]&originHeight=198&originWidth=198&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=ub5b6235f-08de-4fcd-9a82-8ae89eb40e5&title=)
这个问题先放放,大家可能都看过《解决跨域问题的XXX种方式》这样的文章,一般文章里都会告诉你用 CORS 去解决跨域。
大概的原理就是客户端会通过服务端返回的一些 Header 去判断该请求是否允许跨域:
![](https://img-blog.csdnimg.cn/img_convert/b9791d25a946c9e89b0462e2d770a205.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=ud80e9b3d&margin=[object Object]&originHeight=560&originWidth=1080&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=ud5bdf42d-a6c1-419f-a08e-426ae88ab86&title=)
比如,Access-Control-Allow-Origin 告诉客户端允许请求在哪些 Origin 下被发送,这些 Header 一般都是我们配在 Server 上的。
回到上面的问题,如果请求没发出去,这个 Header 是怎么被带回来的呢?浏览器又咋知道 Server 允许请求在哪些 Origin 下跨域发送呢?
所以,我们又明确了一个信息:请求一定是先发出去,在返回来的时候被浏览器拦截了,如果请求是有返回值的,会被浏览器隐藏掉。

预检请求

那这么说,请求既然被发出去了,服务端又不会拦截,所以一定会被执行喽?
那当然不是,我们再回来把 CORS 这张图放大来看:
![](https://img-blog.csdnimg.cn/img_convert/540589859a8fd37748ea6b5558e90bde.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=ue8bc91f2&margin=[object Object]&originHeight=1146&originWidth=1080&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=ud269f0cf-64bf-49eb-be3e-9dad35abb21&title=)
我们发现,在发送真正的请求之前,浏览器会先发送一个 Preflight 请求,也就是我们常说的预检请求,它的方法为 OPTIONS
这也就是为什么有的时候我们明明只发了一个请求,在 Network 里却看到两个:
![](https://img-blog.csdnimg.cn/img_convert/55dae901e48a48c843e02eecc39bc750.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=u9abefe64&margin=[object Object]&originHeight=502&originWidth=1080&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=u2e7c473b-5d69-49fc-9272-80adb2fc260&title=)
预检请求有一个很重要的作用就是 询问 服务端是不是允许这次请求,如果当前请求是个跨域的请求,你可以理解为:询问 服务端是不是允许请求在当前域下跨域发送。
当然,它还有其他的作用,比如 询问 服务端支持哪些 HTTP 方法。

预检的过程

当预检请求到达服务端时,服务端是不会真正执行这个请求的逻辑的,只会在这个请求上返回一些 HTTP Header,以此来告诉客户端是不是要发送真正的请求。
如果服务端告诉客户端,请求是允许被发送的,那真正的请求才会发出去。
比如:我在 a.com 这个 origin 下,发送了 conardli.top 这个域名的请求。
那么浏览器会先向 conardli.top 发送一个预检,预检请求不会真正执行这个域名的请求,而是返回了一些 CORS Header,比如 Access-Control-Allow-Origin: a.com
这时候浏览器发现, conardli.top 的请求是允许在 a.com 下发送的,才会真正发出请求。这时服务端才会真正执行请求接口的逻辑。
那么,所有的请求都会有预检吗?当然不是。

简单请求和复杂请求

预检请求虽然不会真正在服务端执行逻辑,但也是一个请求啊,考虑到服务端的开销,不是所有请求都会发送预检的。
一旦浏览器把请求判定为 简单请求,浏览器就不会发送预检了。
浏览器判定请求是否为简单请求要同时满足以下四个条件:

  • 使用下列方法之一:
    • GET
    • HEAD
    • POST
  • 只使用了如下的安全 Header,不得人为设置其他 Header
    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type 的值仅限于下列三者之一:
  • 请求中的任意 XMLHttpRequest 对象均没有注册任何事件监听器;XMLHttpRequest 对象可以使用 XMLHttpRequest.upload 属性访问。
  • 请求中没有使用 ReadableStream 对象。

所以,如果你发送的是一个简单请求,这个请求不管是不是会受到跨域的限制,只要发出去了,一定会在服务端被执行,浏览器只是隐藏了返回值而已。
![](https://img-blog.csdnimg.cn/img_convert/f153623cf5518998ebd01546aa05a794.png#clientId=ub2602823-bcca-4&crop=0&crop=0&crop=1&crop=1&from=paste&id=ufd4cf24c&margin=[object Object]&originHeight=86&originWidth=146&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&taskId=u65b9b1e6-08e5-4526-994d-315509e6165&title=)
现在,一切都清晰了吧 …

总结

最后来总结下要点:

  • 简单请求:不管是否跨域,只要发出去了,一定会到达服务端并被执行,浏览器只会隐藏返回值
  • 复杂请求:先发预检,预检不会真正执行业务逻辑,预检通过后才会发送真正请求并在服务端被执行
mildness丶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从前后端的角度分析options预检请求——打破前后端联调的理解障碍
追寻心的步伐
05-31 1482
这些请求被称为“非简单请求”。反之,如果一个跨域请求被认为是“简单请求”,那么浏览器将不会发送OPTIONS请求请求的目的是为了获取服务器对于跨域请求的配置信息(如允许的请求方法、允许的请求头部等),而不是为了获取实际的业务数据,如果一个跨域请求不满足以上所有条件,那么它被认为是非简单请求。因为这个请求不满足简单请求条件,所以在实际POST请求之前,浏览器发送。请求成功还是失败,在设置的时间范围内,同一个接口请求是绝对不会再次发送。提示:当一个跨域POST请求满足简单请求条件时,浏览器不会发送。
php接口 前端调用一次 服务端请求了2次 (php 跨域请求执行了两次接口 OPTIONS(预处理)导致)
ouxiaoxian的博客
04-16 1385
发生场景: 前端调用一次接口 但是后台添加接口 被调用2次添加。OPTIONS请求执行了一次程序;然后post也执行了一次程序; 问题描述: 因为在进行跨域请求的时候,前端options请求接口,去试探是否支持跨域,支持跨域之后,在进行正式的post请求添加。 解决方法: 请求做限制,options请求执行接口功能。 if (strtolower($_SERVER['REQUEST_METHOD']) == 'options') { exit; } ...
为什么出现跨域,如何解决-详细全网最详细
weixin_43365995的博客
03-25 4983
什么是跨域问题就是前端调用的后端接口不属于同一个域(域名或端口不同),就产生跨域问题,也就是说你的应用访问了该应用域名或端口之外的域名或端口。这都是同源策略在发挥作用。 同源策略 同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。 所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 同源策略限制以下几种行为:
http跨域时的options请求
weixin_45060666的博客
03-13 1425
一、简介 出于安全考虑,并不是所有域名访问后端服务都可以。其实在正式跨域之前,浏览器根据需要发起一次预检(也就是option请求),用来让服务端返回允许的方法(如get、post),被跨域访问的Origin(来源或者域),还有是否需要Credentials(认证信息)等。那么浏览器在什么情况下能预检呢? 二、两种请求方式 浏览器将CORS请求分为两类:简单请求(simple request)和非简单请求(not-simple-request),简单请求浏览器不会预检,而非简单请求预检。这两种方式怎么区分
JavaScript如何实现跨域请求
12-10
服务端收到请求后,将数据包装在该回调函数中返回,客户端浏览器执行返回的脚本,从而间接地实现了数据的获取。 以`FlyJSONP`为例,这是一个轻量级的JavaScript库,用于实现JSONP跨域请求。使用`FlyJSONP`需要...
jQuery Ajax实现跨域请求
10-20
跨域请求中,`dataType`参数设置为'jsonp'是关键,这告诉jQuery我们打算使用JSONP来处理响应。 JSONP是一种绕过同源策略的技巧,其原理是利用浏览器允许动态插入`<script>`标签的特点,通过创建`<script>`标签来...
JSONP跨域请求实例详解
10-22
2. **无错误处理:** 如果服务端返回错误或不存在,浏览器不会抛出错误,只是不会执行回调函数,这使得错误处理变得困难。 3. **安全性:** 由于JavaScript代码直接在客户端执行,可能存在安全风险,如XSS攻击。 **...
使用jquery的jsonp如何发起跨域请求及其原理详解
10-19
3. **服务端响应**:服务器收到请求后,不仅返回JSON格式的数据,还将数据包装在回调函数中。即返回类似`showData({"key": "value", ...})`这样的JavaScript代码,而不是纯粹的JSON。 4. **脚本执行**:浏览器...
Java利用cors实现跨域请求实例
08-30
跨域请求是指浏览器不能执行其他网站的脚本,这是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。这种限制导致Ajax请求无法跨域访问其他网站的资源。为解决这个问题,出现了多种解决方案,包括...
解决axios发送两次请求,有个OPTIONS请求的问题
01-19
问题描述: Vue的开发者都知道axios,很多都用axios来进行数据交互,axios的默认请求头是Content-Type: application/json 使用这个请求出现向服务器请求两次的情况 为什么呢? 原因是:浏览器首先使用 OPTIONS 方法发起一个预请求,判断接口是否能够正常通讯,如果不能就不会发送真正的请求过来,如果测试通讯正常,则开始真正的请求。 大概意思就是: 浏览器对后台说:我可以请求你吗? ( ̄ˇ ̄)  后台说:阔以。( ̄▽ ̄)~* 结果是:发送原有的GET(POST)请求 后台说:不阔以。(‵﹏′) 结果是:报错 那么这样每个请求发送两次,无形加重了服
跨域请求到底不会被服务器执行
liuqinhou的博客
01-02 664
网络
跨域问题是如何出现的以及如何解决跨域问题?
PURPLESWEETTTTT的博客
12-22 170
线上的接口中,只有登录接口在服务器端处理了跨域的问题,其他接口都没有处理跨域的,所以,只要发起请求,就跨域。在A地址(发起请求的页面地址)向B地址(要请求的目标页面地址)发起请求时,请求跨域的,并不一定报错。普通的图片请求,css文件请求不会报错的。: 浏览器同源策略 && 请求类型是ajax类型。,而不是服务器端,服务器是可以顺利收到请求的。跨域请求在浏览器中是非常常见的现象!不全相同,则说明请求跨域的;注意:跨域错误本质问题出在。跨域问题是如何出现的?
跨域问题的产生,以及如何解决跨域问题
YasWestmere的博客
12-23 519
一招教你解决跨域问题,再也不用担心跨域等问题
option请求
Alway_lucky的博客
10-18 982
在项目开发 使用axios进行数据请求时,发现同一个接口请求两次,一个requirtMethods是option ,一个是,正常的get/post请求,返回200请求成功。 那么OPTIONS 这个请求是什么呢,我们不妨来了解一下。 --------------------------------- Preflighted Requests(预检请求) Preflighted Requ...
java options设置_【java】后台如何处理OPTIONS请求
weixin_34829543的博客
02-24 5286
headers: ‘Content-Type’: ‘application/json’针对一个接口“/getProjectsByUserId”前端发POST请求,并且headers: ‘Content-Type’: ‘application/json’,所以POST请求为复杂请求先发送个OPTIONS请求。但是我的后台里面没有写关于/getProjectsByUserId的OPTIONS请求。...
【爬虫】关于 HTTP 的 OPTIONS 请求
Ezrealer的博客
06-10 3730
HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法; 简单来说,就是可以用 options 请求去嗅探某个请求在对应的服务器中都支持哪种请求方法; 前端一般不会主动发起这个请求,但是通过F12 debug页面,一般可以看到 相同的请求有两次,其中一次的 Request Method 是 OPTIONS; 因为在跨域的情况下,在浏览器发起"复杂请求"时主动发起的。跨域共享标准规
http请求发生了两次(options请求
dianchou8532的博客
03-26 2874
前言 自后台restful接口流行开来,请求了两次的情况(options请求)越来越普遍。笔者也在实际的项目中遇到过这种情况,做一下整理总结。 文章书写思路: 为什么发生两次请求 http的请求方式,包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT等八种请求方式。其中,get与post只是我们常用的请求方式。 我们能在图一...
实现Ajax跨域请求的jsonp
最新发布
04-04
jsonp是一种跨域请求的解决方案,它利用了script标签的跨域特性来实现。 具体实现步骤如下: 1. 在客户端定义一个回调函数,并将该函数名作为参数传递给服务端。 2. 服务端接收到请求后,将数据包装在函数调用中返回给客户端,并在返回的数据前加上回调函数名。 3. 客户端接收到响应后,自动执行回调函数,并将响应数据作为参数传入回调函数中。 示例代码: 客户端: ``` function handleResponse(data) { // 处理响应数据 } var script = document.createElement('script'); script.src = 'http://example.com/data.php?callback=handleResponse'; document.body.appendChild(script); ``` 服务端: ``` <?php $data = array('name' => '张三', 'age' => 20); $json = json_encode($data); $callback = $_GET['callback']; echo $callback . '(' . $json . ')'; ?> ``` 上述代码中,客户端通过创建一个script标签向服务端请求数据,并将回调函数名作为参数传递给服务端服务端接收到请求后,将数据包装在回调函数调用中返回给客户端。客户端接收到响应后,自动执行回调函数handleResponse,并将响应数据作为参数传入回调函数中。 需要注意的是,jsonp只支持GET请求,并且返回的数据必须是JSON格式的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值