跨域请求之预检请求

最新推荐文章于 2024-02-29 19:54:20 发布
最新推荐文章于 2024-02-29 19:54:20 发布
阅读量1.6k 收藏 7
点赞数 1
分类专栏: 浏览器跨域
原文链接:https://blog.csdn.net/u012017645/article/details/54315923
版权

关于什么是跨域,这里就不多解释了,大家自行搜索一下。

CORS约定服务器端和浏览器在HTTP协议之上,通过一些额外HTTP头部信息,进行跨域资源共享的协商。服务器端和浏览器都必需遵循规范中的要求。

CORS把HTTP请求分成两类,简单请求和非简单请求,不同请求按照不同的策略进行跨域资源共享协商。

1. 简单跨域请求。
当HTTP请求出现以下两种情况时,浏览器认为是简单跨域请求:

1). 请求方法是GET、HEAD或者POST,并且当请求方法是POST时,Content-Type必须是application/x-www-form-urlencoded, multipart/form-data或着text/plain中的一个值。
2). 请求中没有自定义HTTP头部。

对于简单跨域请求,浏览器要做的就是在HTTP请求中添加Origin Header,将JavaScript脚本所在域填充进去,向其他域的服务器请求资源。服务器端收到一个简单跨域请求后,根据资源权限配置,在响应头中添加Access-Control-Allow-Origin Header。浏览器收到响应后,查看Access-Control-Allow-Origin Header,如果当前域已经得到授权,则将结果返回给JavaScript。否则浏览器忽略此次响应。

2. 带预检(Preflighted)的跨域请求。
当HTTP请求出现以下两种情况时,浏览器认为是带预检(Preflighted)的跨域请求:

1). 除GET、HEAD和POST(only with application/x-www-form-urlencoded, multipart/form-data, text/plain Content-Type)以外的其他HTTP方法。
2). 请求中出现自定义HTTP头部。

带预检(Preflighted)的跨域请求需要浏览器在发送真实HTTP请求之前先发送一个OPTIONS的预检请求,检测服务器端是否支持真实请求进行跨域资源访问,真实请求的信息在OPTIONS请求中通过Access-Control-Request-Method Header和Access-Control-Request-Headers Header描述,此外与简单跨域请求一样,浏览器也会添加Origin Header。服务器端接到预检请求后,根据资源权限配置,在响应头中放入Access-Control-Allow-Origin Header、Access-Control-Allow-Methods和Access-Control-Allow-Headers Header,分别表示允许跨域资源请求的域、请求方法和请求头。此外,服务器端还可以加入Access-Control-Max-Age Header,允许浏览器在指定时间内,无需再发送预检请求进行协商,直接用本次协商结果即可。浏览器根据OPTIONS请求返回的结果来决定是否继续发送真实的请求进行跨域资源访问。这个过程对真实请求的调用者来说是透明的。

XMLHttpRequest支持通过withCredentials属性实现在跨域请求携带身份信息(Credential,例如Cookie或者HTTP认证信息)。浏览器将携带Cookie Header的请求发送到服务器端后,如果服务器没有响应Access-Control-Allow-Credentials Header,那么浏览器会忽略掉这次响应。

这里讨论的HTTP请求是指由Ajax XMLHttpRequest对象发起的,所有的CORS HTTP请求头都可由浏览器填充,无需在XMLHttpRequest对象中设置。以下是CORS协议规定的HTTP头,用来进行浏览器发起跨域资源请求时进行协商:
1. Origin。HTTP请求头,任何涉及CORS的请求都必需携带。
2. Access-Control-Request-Method。HTTP请求头,在带预检(Preflighted)的跨域请求中用来表示真实请求的方法。
3. Access-Control-Request-Headers。HTTP请求头,在带预检(Preflighted)的跨域请求中用来表示真实请求的自定义Header列表。
4. Access-Control-Allow-Origin。HTTP响应头,指定服务器端允许进行跨域资源访问的来源域。可以用通配符*表示允许任何域的JavaScript访问资源,但是在响应一个携带身份信息(Credential)的HTTP请求时,Access-Control-Allow-Origin必需指定具体的域,不能用通配符。
5. Access-Control-Allow-Methods。HTTP响应头,指定服务器允许进行跨域资源访问的请求方法列表,一般用在响应预检请求上。
6. Access-Control-Allow-Headers。HTTP响应头,指定服务器允许进行跨域资源访问的请求头列表,一般用在响应预检请求上。
7. Access-Control-Max-Age。HTTP响应头,用在响应预检请求上,表示本次预检响应的有效时间。在此时间内,浏览器都可以根据此次协商结果决定是否有必要直接发送真实请求,而无需再次发送预检请求。

8. Access-Control-Allow-Credentials。HTTP响应头,凡是浏览器请求中携带了身份信息,而响应头中没有返回Access-Control-Allow-Credentials: true的,浏览器都会忽略此次响应。

总结:只要是带自定义header的跨域请求,在发送真实请求前都会先发送OPTIONS请求,浏览器根据OPTIONS请求返回的结果来决定是否继续发送真实的请求进行跨域资源访问。所以复杂请求肯定会两次请求服务端。

世平那个张
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot实现前后端分离的访问(CORS)
02-25
简单来说,CORS是一种访问机制,英文全称是Cross-OriginResourceSharing,即我们常说的资源共享,通过在服务器端设置响应头,把发起的原始名添加到Access-Control-Allow-Origin即可。CORS实现访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了请求的XHR对象,而复杂的请求则要求先发送一个”请求,待服务器批准后才能真正发起访问请求。根据官方文档W3C规范-CORS的描述,目前CORS使用了如下头部信息:注:请求
vue拦截浏览器options
qq_34295211的博客
06-09 6461
当你访问接口的时候,会发现你的接口请求了两次,然后仔细对比一下会发现请求类型并不一致,一个是OPTIONS,另一个是你的POST请求。事情是这样发生的,当浏览器发现你准备进行非简单请求的时候(有关简单请求说明请移步https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#Simple_requests),他会自发的发出一个O...
深入浅出HTTP/2请求(CORS Preflight Request)
最新发布
wenxuankeji的博客
02-29 626
深入浅出HTTP/2请求(CORS Preflight Request)
在vue项目中,使用axios处理
08-27
下面小编就为大家分享一篇在vue项目中,使用axios处理,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Nginx 解决WebApi二次请求以及Vue单页面的问题
01-09
一、前言 由于项目是前后端分离,API接口与Web前端 部署在不同站点当中,因此在前文当中WebApi Ajax 请求解决方法(CORS实现)使用处理方式处理而不用Jsonp的方式。 但是在一段时间后,发现一个很奇怪的问题,每次前端发起请求的时候,通过浏览器的开发者工具都能看到在Network下同一个url有两条请求,第一条请求的Method为OPTIONS,第二条请求的Method才是真正的Get或者Post,并且,第一条请求无数据返回,第二条请求才返回正常的数据。 二、原因 第一个OPTIONS的请求是由WEB服务器处理访问引发的。OPTIONS是一种请求,浏览器在处理
解决vue axios Request Method: OPTIONS问题(请求)
01-19
我们在vue开发中用axios进行请求时有时会遇到,同一个接口请求了两次,并且第一次都是options请求,然后才是post/get请求 如下图 options请求 get请求 为什么会出现这种原因呢? 这是因为CORS分为 简单请求和复杂请求; 简单不会发送options请求,复杂会发送一个请求options。 1.简单满足的条件 1.请求方式是以下三种之一: HEAD GET POST 2.HTTP的头信息不超出以下几种字段 Accept Accept-Language Content-Language Last-Event-ID Content-
请求避免OPTIONS请求请求
Turbo
07-06 1万+
有时候前后端分离名不一致,会造成请求请求有时候会自动发起两次请求,第一次为请求,即OPTIONS请求 一般来说使用 application/json 的 post 请求是必然会带入OPTIONS请求 OPTIONS请求也被称为请求,主要用于获知服务端支持的HTTP请求方法。资源共享(CORS)标准新增了一组 HTTP 首部字段,配合请求可获知服务器允许哪些源站通过浏览器有权限访问哪些资源。 但是在有些get请求中也会OPTIONS请求,这里补充下回发生options的情况 当发
请求会让服务器性能,如何避免“请求”?
weixin_30916653的博客
08-08 1109
我试图开始使用Ember Data,并立即遇到了这个问题,浏览器在实际请求之前发送了OPTIONS请求。如何避免“请求”?我试图与之交流的开发后端是在本地机器上运行的rails 4.2服务器(从rails s -b 0.0.0.0开始) 我目前使用此api从android和ios应用程序进行通信。我的最终目标是除了现有的导轨UI之外还提供一个Ember应用程序,但是如果我必须替换它并且只有Em...
HTTP访问控制(CORS)——请求问题的解决
qq_44891295的博客
07-08 8656
文章目录1:CORS介绍2:什么情况下需要 CORS3:资源共享机制功能概述3.1 若干访问控制场景案例演示 1:CORS介绍 CORS (Cross-Origin Resource Sharing,资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取请求的响应。 同源安全策略 默认阻止“”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选择,允许请求访问到它们的资源。 CORS 头 Access
options请求
热门推荐
weixin_45943355的博客
06-10 3万+
options 请求就是请求,可用于测服务器允许的 http 方法。当发起请求时,由于安全原因,触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求,即 CORS 请求,服务器若接受该请求,浏览器才继续发起正式请求。...
网络安全中如何绕过前端验证的功能
xs9716的博客
01-25 577
绕过前端验证
cors之简单请求请求(发送自定义请求头)
chuxunhui5603的博客
06-11 1726
引子 前后端分离这个问题,对cors的应用不断增多,暴露出的问题也接踵而至。 正所谓虑一千次,不如去做一次。 犹豫一万次,不如实践一次,本篇主要讨论在发送ajax请求,头部带上自定义token验证验证,暴露出的问题。 先说说定义 CORS:来源资源共享(CORS)是一份浏览器技...
关于浏览器的请求
qq_45849275的博客
06-23 299
关于浏览器的请求 if("OPTIONS".equalsIgnoreCase(method)){ return true; }
浏览器中的preflight请求-请求
chen__cheng的博客
09-27 1万+
什么是preflight请求? preflight,一个cors请求,属于options请求。该请求会在浏览器认为即将要执行的请求可能会对服务器造成不可知的影响时,由浏览器自动发出。 利用请求,浏览器能够知道当前的服务器是否允许执行即将要进行的请求,只有获得了允许,浏览器才会真正执行接下来的请求。 所以,总结有几点: 浏览器自动发出该请求,不需要用户干请求发生在用户发送的请求之前,只有请求通过,用户发送的请求才能发送到服务器,否则抛出CORS错误。 prefilght触发条件 pre
同源策略(CORS policy) 请求 实现
weixin_45917427的博客
10-04 1189
同源策略(CORS policy) 请求 实现
请求解释
qq_44113347的博客
04-13 752
服务器应该根据请求的信息来判断是否允许实际请求,并在响应中包含适当的CORS头,例如Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等,以指示浏览器是否允许实际请求的执行。请求中包含了一些用于查服务器支持的请求方法、请求头、请求体等信息,并带有一个Access-Control-Request-Method头,指定了实际请求的HTTP方法。
为什么会有options请求?能否移除?
weixin_44421461的博客
02-01 1537
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
ajax 如何禁止 请求,AJAX未通过原点
weixin_29028611的博客
08-05 770
这似乎不起作用:$.ajax({url: "http://localhost:3000/foo.json",data: { foo: 'bar' },headers: { 'HTTP_X_CUSTOMHEADER': 'foobar' },xhrFields: { withCredentials: true }});当我在jsfiddle上运行它时,将触发一个OPTIONS请求...
ajax 如何禁止 请求,ajax - 请求正常,然后,在auth之后,响应不包含allow cors标头 - 堆栈内存溢出...
weixin_39876002的博客
08-05 624
在IIS 8.5上部署的Asp MVC 5应用程序。 需要从许多客户端启用ajax请求。服务器端我有WebApiConfig.csconfig.EnableCors();在控制器中:[EnableCors(origins: "http://localhost:59901", headers: "*", methods: "*", SupportsCredentials = true)]publi...
axios 请求
09-08
在进行请求时,可以通过配置`Access-Control-Allow-Origin`响应头来解决问题。...另外,由于请求可能会出现请求(OPTIONS请求),服务器需要支持处理OPTIONS请求并返回正确的响应头。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值