简单请求与预检请求

最新推荐文章于 2024-06-17 11:11:42 发布
最新推荐文章于 2024-06-17 11:11:42 发布
阅读量3.6k 收藏 18
点赞数 1
分类专栏: 前端 文章标签: javascript java node.js vue.js reactjs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42519137/article/details/104541444
版权

预检请求

什么是预检请求?

对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。
CORS请求失败会产生错误,但是为了安全,在JavaScript代码层面是无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。

什么情况下会有预检请求

请求会对服务器有影响的会先法预检请求

当请求满足下述任一条件时,即应首先发送预检请求:

  • 使用了下面任一 HTTP 方法:
  • 人为设置了对 CORS 安全的首部字段集合之外的其他首部字段。该集合为:
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type (需要注意额外的限制)
    • [DPR](http://httpwg.org/http-extensions/client-hints.html#dpr)
    • [Downlink](http://httpwg.org/http-extensions/client-hints.html#downlink)
    • [Save-Data](http://httpwg.org/http-extensions/client-hints.html#save-data)
    • [Viewport-Width](http://httpwg.org/http-extensions/client-hints.html#viewport-width)
    • [Width](http://httpwg.org/http-extensions/client-hints.html#width)
  • Content-Type的值不属于下列之一:
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain
  • 请求中的XMLHttpRequestUpload 对象注册了任意多个事件监听器。
  • 请求中使用了ReadableStream对象。

简单请求

什么是简单请求?

某些请求不会触发 CORS 预检请求。本文称这样的请求为“简单请求”,请注意,该术语并不属于 Fetch (其中定义了 CORS)规范。若请求满足所有下述条件,则该请求可视为“简单请求”:

什么请求是简单请求

按照预检请求的理解,简单请求就是对服务器无副作用的请求。

  • 使用下列方法之一:
  • Fetch 规范定义了对 CORS 安全的首部字段集合,不得人为设置该集合之外的其他首部字段。该集合为:
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type (需要注意额外的限制)
    • [DPR](http://httpwg.org/http-extensions/client-hints.html#dpr)
    • [Downlink](http://httpwg.org/http-extensions/client-hints.html#downlink)
    • [Save-Data](http://httpwg.org/http-extensions/client-hints.html#save-data)
    • [Viewport-Width](http://httpwg.org/http-extensions/client-hints.html#viewport-width)
    • [Width](http://httpwg.org/http-extensions/client-hints.html#width)
  • Content-Type的值仅限于下列三者之一:
    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded
  • 请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
  • 请求中没有使用 ReadableStream 对象。

POST为什么分简单和不简单

**

**搭配某些 MIME 类型的 POST 请求,**需要发送预检请求,怎么理解?
为什么POST请求划分到简单请求里?

为什么content-type为下面三种的却被视为简单请求,工作中碰到的post请求很多都会采用下面的格式,且会修改数据库内容,其不会存在安全风险吗?

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded

如果我们现在重新设计整个HTTP协议,我们可以要求浏览器在发送任何数据到另外一个域的服务器之前,都必须先发送preflight request。但是大部分现存网站并未针对preflight request做出实现,所以这意味着现有的互联网中,如果一个域的表单向另一个域提交的时候会跨域失败,直到目标网站更新处理perflight request为止。

所以在我们制定这一新的标准的时候,应当考虑到目前互联网已经存在这样的请求,他们虽然看起来可能不安全,但为了向下兼容,我们不能强制对这些请求做preflight request。既然不能强制做preflight request验证,那发这个东西就没有什么意义了。

可能是为了向下兼容表单提交吧,表单提交出现比同源策略要早。

参考mdn
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS#Preflighted_requests
知乎
https://www.zhihu.com/question/268998684

withwz_
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python Tornado之跨域请求与Options请求方式
09-17
提到的Options请求是CORS预检请求,浏览器在发送实际的GET、POST等请求之前,会先发送一个Options请求,检查服务器是否允许这次跨域请求。因此,Tornado需要处理Options请求,确保返回正确的响应头: ```python ...
浅谈在fetch方法中添加header后遇到的预检请求问题
08-29
浅谈在fetch方法中添加header后遇到的预检请求问题 在 fetch 方法中添加 header 后遇到的预检请求问题是一种常见的跨域资源共享(CORS)问题。当我们在 fetch 方法中添加 header 时,浏览器可能会发送预检请求...
面试题:HTTP 常用 Method
Silence-Lee的博客
09-19 348
文章目录概述简单请求预检请求1.简单请求2.预检请求各个请求方法介绍GetPostHeadOptionsPut 与 PatchDelete方法与规范 概述 根据HTTP标准,HTTP请求可以使用多种请求方法。 HTTP1.0定义了三种请求方法: head、get、post方法。 HTTP1.1新增了五种请求方法:put、delete、options、trace、connect方法。 简单请...
从前后端的角度分析options预检请求
华为云官方博客
05-16 2529
options预检请求是干嘛的?options请求一定会在post请求之前发送吗?前端或者后端开发需要手动干预这个预检请求吗?不用文档定义堆砌名词,从前后端角度单独分析,大白话带你了解!
post为什么会发送两次请求详解
最新发布
肥晨开发的学习之路
06-17 1004
复杂请求是指那些不仅仅是简单的GET或POST请求请求。使用POSTPUTDELETE等HTTP方法。请求中包含自定义的HTTP头字段。请求体(Body)中包含非文本数据(如JSON或XML当浏览器检测到跨域请求满足上述任何一个条件时,它就会发送一个OPTIONS预检请求。这个预检请求会包含一些特定的HTTP头字段,如(表示将要使用的HTTP方法)和(表示将要使用的自定义头字段)。当涉及到跨域请求,尤其是复杂请求时,POST请求可能会先发送一个OPTIONS预检请求,然后再发送实际的POST。
前端 | 浅谈预检请求
u012496505的博客
09-17 5970
背景不知道大家有没有发现,有时候我们在调用后台接口的时候,会请求两次,如下图的其实第一次发送的就是preflight request(预检请求),那么这篇文章将讲一下,为什么要发预检请求,什么时候会发预检请求预检请求都做了什么一. 为什么要发预检请求我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
预检请求作用
BonTuT的博客
10-31 380
预检请求通常是一种OPTIONS请求,其中包含了一些用于检查的请求头信息,例如Origin(请求源)、Access-Control-Request-Method(实际请求的方法)和Access-Control-Request-Headers(实际请求的头部信息)等。预检请求允许服务器检查客户端的请求头(Request Headers)和方法(HTTP Methods),以确定是否支持跨域请求。总之,预检请求是CORS机制的一部分,用于确保跨域请求的安全性和可行性,以维护Web应用程序的安全和可靠性。
浏览器中的preflight请求-预检请求
潮汐未见潮落的博客
07-12 7717
浏览器中的preflight请求-预检请求的相关内容
CORS简单请求预检请求
weixin_49115633的博客
01-11 1280
只要符合以下任何一个条件的请求,都需要进行预检请求请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
Vue使用axios出现options请求方法
10-16
然而,有时在进行跨域请求时,浏览器会先发送一个预检请求(OPTIONS请求),这是由于CORS(Cross-Origin Resource Sharing,跨源资源共享)机制的规定。当请求的HTTP方法不是GET、HEAD、POST,或者请求头部包含...
解决vue axios跨域 Request Method: OPTIONS问题(预检请求)
01-19
简单跨域不会发送options请求,复杂跨域会发送一个预检请求options。 1.简单跨域满足的条件 1.请求方式是以下三种之一: HEAD GET POST 2.HTTP的头信息不超出以下几种字段 Accept Accept-Language Content-...
JS跨域请求外部服务器的资源
10-20
- `Access-Control-Max-Age`: 缓存预检请求(preflight request)结果的时间,减少不必要的预检请求。 - `Access-Control-Allow-Credentials`: 如果为`true`,则允许发送带有cookies的跨域请求预检请求...
cors跨域之简单请求预检请求(发送自定义请求头)
chuxunhui5603的博客
06-11 1809
引子 前后端分离这个问题,对cors的应用不断增多,暴露出的问题也接踵而至。 正所谓虑一千次,不如去做一次。 犹豫一万次,不如实践一次,本篇主要讨论在发送ajax请求,头部带上自定义token验证验证,暴露出的跨域问题。 先说说定义 CORS:跨来源资源共享(CORS)是一份浏览器技...
简单请求请求预检
LS
12-05 124
跨域中遇到的问题
理解预检请求:CORS 中的关键机制
m0_54187478的博客
11-29 609
跨源资源共享(CORS)在现代网络开发中扮演着重要角色,而预检请求(Preflight Request)则是 CORS 的核心组成部分之一。本文将深入解析预检请求的概念,并通过一个实际例子来展示它的工作原理。
cors跨域之简单请求预检请求(发送请求头带令牌token)
weixin_34360651的博客
06-29 1101
引子 自从从JAVA伪全栈转前端以来,学习的路上就充满了荆棘(奇葩问题),而涉及前后端分离这个问题,对cors的应用不断增多,暴露出的问题也接踵而至。这两天动手实践基于Token的WEB后台认证机制,看过诸多理论(较好一篇推荐),正所谓虑一千次,不如去做一次。 犹豫一万次,不如实践一次,所以就有了下文,关于token的生成,另外一篇文章会...
浅析前端请求中post为什么会发送两次请求
new_handsome的博客
02-19 1809
在前端开发中,有时候会遇到 POST 请求发起了两次的情况,这种情况通常是由于浏览器的预检请求(OPTIONS 请求)导致的,即跨域请求时浏览器会先发送一个 OPTIONS 请求进行预检,然后再发送实际的 POST 请求。另外,还有一种常见的情况会导致 POST 请求发送两次,那就是页面中使用了表单提交的方式触发 POST 请求,同时又通过 JavaScript 代码手动发送了 POST 请求,这样就会导致 POST 请求发送两次。等相关响应头来支持跨域请求,并实现预检请求的处理。
cors里面的简单请求预检请求
zhuyuan123456的博客
02-22 401
咱们先来看简单请求 再来看预检请求 这两个,其实一个是另外一个的对立面。而且最大的不同在于,简单请求只发起一次网络请求。 而预检请求会发起两次,先发起一个option请求后,才会发起它真正的请求! ...
在react中使用接口请求的方式
Liu_G_Q的博客
07-15 8507
在 React 中使用接口进行数据交互是构建现代 Web 应用的关键。本文介绍了在 React 中使用 Fetch API、第三方库和 Hooks 进行接口调用的方法。同时,我们还了解了数据处理和展示的一些最佳实践。掌握这些技巧,你将能够在 React 应用中有效地进行数据交互,并构建出功能强大的用户界面。希望本文为你提供了有关在 React 中使用接口的指导和启示。祝你在学习和实践中取得进步!
怎样正确处理进行非简单请求预检请求
05-27
进行非简单请求时,浏览器会先发送一个预检请求OPTIONS,以确保实际请求是安全的并且被服务器支持。预检请求包含一个Access-Control-Request-Method头部,用于指定实际请求的HTTP方法。 正确处理预检请求,需要在服务器端设置相应的CORS响应头。具体步骤如下: 1. 在springboot的配置类中,添加CorsFilter过滤器。 ```java @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); // 允许跨域访问的域名,*代表所有域名 config.addAllowedHeader("*"); // 允许跨域访问的请求头 config.addAllowedMethod("*"); // 允许跨域访问的HTTP方法,*代表所有方法 config.setMaxAge(1800L); // 预检请求的缓存时间,单位为秒 source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } ``` 2. 配置CorsConfiguration对象,设置允许的跨域访问域名、请求头和HTTP方法。其中,addAllowedOrigin方法设置允许跨域访问的域名,addAllowedHeader方法设置允许跨域访问的请求头,addAllowedMethod方法设置允许跨域访问的HTTP方法。 3. 将CorsConfiguration对象注册到UrlBasedCorsConfigurationSource中,并设置拦截路径。在本示例中,将拦截所有请求,所以设置拦截路径为"/**"。 4. 将UrlBasedCorsConfigurationSource对象注册到CorsFilter中,并返回该对象。 这样,当浏览器发送预检请求时,CorsFilter会对该请求进行拦截,并返回相应的CORS响应头,以确保实际请求可以被安全地执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值