OPTIONS 请求是 HTTP 协议中的一种请求方法,用于请求服务器返回支持的 HTTP 方法和其他选项。它是 HTTP/1.1 规范中引入的,属于“预检请求”(preflight request)的一部分,主要用于跨域资源共享(CORS, Cross-Origin Resource Sharing)的场景中,但也适用于其他需要了解服务器功能的场合。
1. OPTIONS 请求的目的
- 探测服务器能力:客户端可以通过发送 OPTIONS 请求来查询服务器支持哪些 HTTP 方法(如 GET、POST、PUT 等)、接受哪些请求头、以及是否支持 CORS 等信息,而无需实际访问资源。
- 跨域请求预检:当浏览器发起跨域的复杂请求(比如使用非简单方法的请求或自定义请求头)之前,会先发送一个 OPTIONS 请求到服务器,以确认服务器是否允许这样的跨域请求。这个过程称为“预检请求”。
2. OPTIONS 请求的特点
- 无副作用:OPTIONS 请求不应该对服务器上的数据产生任何影响,它是一个幂等且安全的方法。
- 响应头部:服务器的响应会包含
Access-Control-Allow-Methods
、Access-Control-Allow-Headers
、Access-Control-Max-Age
等头部信息,用来告知客户端允许的请求方法、请求头以及预检结果的有效期。 - 自动处理:在现代浏览器中,对于跨域的复杂请求,OPTIONS 预检请求通常是自动发起的,开发者无需手动编写。
3. OPTIONS 请求的使用场景
- CORS 预检:在进行跨域 AJAX 请求前,浏览器自动发送 OPTIONS 请求,以验证请求是否被目标服务器许可。
- API 探测:客户端可以主动发送 OPTIONS 请求来检测服务器支持的功能,以便决定如何与服务器交互。
- 自动化测试:测试工具或框架可能会使用 OPTIONS 请求来收集有关 API 的元数据。
一个简单的 OPTIONS 请求及响应示例:
Request:
OPTIONS /api/data HTTP/1.1
Origin: https://example-client.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-Custom-Header
Response:
HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://example-client.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header, Content-Type
Access-Control-Max-Age: 86400
在这个请求中,客户端询问了https://example-client.com是否支持POST请求方法,并带有特定的请求头 X-Custom-Header。
服务器响应确认允许,并设置了相关 CORS 头部。