CORS简单请求和预检请求

已于 2024-01-11 15:52:16 修改
阅读量1.2k 收藏 23
点赞数 25
文章标签: 前端 javascript 开发语言
于 2024-01-11 14:53:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49115633/article/details/135525337
版权

客户端在请求 CORS 接口时,根据请求方式和请求头的不同,可以将 CORS 的请求分为两大类,分别是: 简单请求和预检请求

一、简单请求

同时满足以下两大条件的请求,就属于简单请求:  

请求方式:GET、POST、HEAD 三者之一  

请求头(仅包含安全的字段,常见的安全字段如下):

Accept
Accept-Language
Content-Language
DPR
Downlink
Save-Data
Viewport-Width
Width 
Content-Type
Content-Type:只有三个值(来自chatgpt4.0)

  1. application/x-www-form-urlencoded: 这是最常见的 POST 提交数据的方式。我们通过表单输入数据,提交表单,那么浏览器会把表单中的数据按照 key1=val1&key2=val2 的方式进行编码,然后发送给服务器。

  2. multipart/form-data: 这种类型主要用于上传文件。在浏览器中,multipart/form-data_encode方式往往结合着 form 的使用,它假设表单中的每个fields都是一部分,一般在上传文件的时候使用。

  3. text/plain: 文本格式。虽然这种格式在POST请求中很少见,但是在一个POST请求需要被发送为一个没被格式化的字符串形式的时候,这种Content-Type就派上用场了。

二、预检请求(看文章最后的图片)

只要符合以下任何一个条件的请求,都需要进行预检请求:  

  • 请求方式为 GET、POST、HEAD 之外的请求 Method 类型  
  • 请求头中包含自定义头部字段  
  • 向服务器发送了 application/json 格式的数据

在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。

服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。

三、简单请求和预检请求的区别:

简单请求的特点:客户端与服务器之间只会发生一次请求。

预检请求的特点:客户端与服务器之间会发生两次请求,OPTION 预检请求成功之后,才会发起真正的请求。

四、简单请求过程:

当浏览器判定某个ajax跨域请求是简单请求时,会发生以下的事情

4.1请求头中会自动添加Origin字段

比如,在页面http://my.com/index.html中发起了以下跨域请求:

axios("http://crossdomain.com/api/news");

请求发出后,请求头会是下面的格式:

GET /api/news/ HTTP/1.1 Host: crossdomain.com

Connection: keep-alive 

Referer: http://my.com/index.html

Origin: http://my.com

Origin字段会告诉服务器,是哪个源地址在跨域请求

注意:如果使用file协议打开网页,则orgin为null

4.2服务器响应头中应包含Access-Control-Allow-Origin

当服务器收到请求后,如果允许该请求跨域访问,需要在响应头中添加

Access-Control-Allow-Origin字段。该字段的值可以是:

  • *:表示全部放行
  • 具体的源:比如http://my.com,表示我就允许你访问

假设服务器做出了以下的响应:

HTTP/1.1 200 OK Date: Tue, 21 Apr 2020 08:03:35 GMT 

Access-Control-Allow-Origin: http://my.com 

消息体中的数据 

当浏览器看到服务器允许自己访问后,于是,它就把响应顺利的交给js,以完成后续的操作。否则,你会就看到如下图片:

五、预检请求过程:

简单的请求对服务器的威胁不大,所以允许使用上述的简单交互即可完成。

如果浏览器不认为这是一种简单请求,就会按照下面的流程进行:

  1. 浏览器发送预检请求,询问服务器是否允许
  2. 服务器允许
  3. 浏览器发送真实请求
  4. 服务器完成真实的响应

比如,在页面http://my.com/index.html中有以下代码造成了跨域

axios("http://crossdomain.com/api/user",{ 
  method:"POST",
  headers:{// 设置请求头
     a: 1,
     b: 2,
     content-type: "application/json"
  },
   body: JSON.stringify({ name: "john", age: 20 })
});

浏览器发现它不是一个简单请求,则会按照下面的流程与服务器交互

5.1 浏览器发送预检请求,询问服务器是否允许

OPTIONS /api/user HTTP/1.1 Host: crossdomain.com

Origin: http://my.com

Access-Control-Request-Method: POST

Access-Control-Request-Headers: a, b, content-type

可以看出,这并非我们想要发出的真实请求,请求中不包含我们的响应头,也没有消息体

这是一个预检请求,它的目的是询问服务器,是否允许后续的真实请求。

预检请求没有请求体,它包含了后续真实请求要做的事情

预检请求有以下特征:

  • 请求方法为OPTIONS
  • 没有请求体

  • 请求头中包含

    • Origin:请求的源,和简单请求的含义一致
    • Access-Control-Request-Method:后续的真实请求将使用的请求方法
    • Access-Control-Request-Headers:后续的真实请求会改动的请求头

5.2服务器允许

服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式

HTTP/1.1 200 OK Date: Tue, 21 Apr 2020 08:03:35 GMT
Access-Control-Allow-Origin: http://my.com 
Access-Control-Allow-Methods: POST 
Access-Control-Allow-Headers: a, b, content-type 
Access-Control-Max-Age: 86400

对于预检请求,不需要响应任何的消息体,只需要在响应头中添加: 

  • Access-Control-Allow-Origin:和简单请求一样,表示允许的源
  • Access-Control-Allow-Methods:表示允许的后续真实的请求方法
  • Access-Control-Allow-Headers:表示允许改动的请求头

  • Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了

5.3浏览器发送真实请求

预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发生下面的请求数据

POST /api/user HTTP/1.1 Host: crossdomain.com 
Connection: keep-alive 
Referer: http://my.com/index.html 
Origin: http://my.com

{"name": "john", "age": 20 }

5.4 服务器响应真实请求

HTTP/1.1 200 OK Date: Tue, 21 Apr 2020 08:03:35 GMT 
Access-Control-Allow-Origin: http://my.com

可以看出,当完成预检之后,后续的处理与简单请求相同。下图为预检请求,请求过程图。

weixin_49115633
关注
  • 25
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2223
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
深入浅出HTTP/2预检请求CORS Preflight Request)
wenxuankeji的博客
02-29 893
深入浅出HTTP/2预检请求CORS Preflight Request)
从前后端的角度分析options预检请求
华为云官方博客
05-16 2507
options预检请求是干嘛的?options请求一定会在post请求之前发送吗?前端或者后端开发需要手动干预这个预检请求吗?不用文档定义堆砌名词,从前后端角度单独分析,大白话带你了解!
预检请求情况
最新发布
2301_79564718的博客
04-08 168
对于可能修改服务器上数据的某些类型的请求(使用 PUT、DELETE 等 HTTP 方法或使用不会自动包含在每个请求中的标头的请求),浏览器将在发出实际请求之前首先发送“预检请求。此预检请求是一个 HTTP OPTIONS 请求,其目的是向服务器检查实际请求是否可以安全发送。预检请求包括描述 HTTP 方法的标头和实际请求的标头。服务器响应:如果服务器支持 CORS 策略和实际请求,它会使用指示允许哪些方法和标头的标头响应预检请求。浏览器决策:根据服务器对预检请求的响应,浏览器决定是否继续处理实际请求
简单请求预检请求
withwz的博客
02-27 3658
预检请求 什么是预检请求? 对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客...
Cors跨域资源请求详解
1
03-20 5276
介绍 Cors全称为“跨域资源共享”(Cross-origin resource sharing),是一个W3C标准,一种浏览器机制,可实现对位于应用程序域之外的资源的受控访问,对你的应用来源(域)之外的资源(比如图像或字体)的请求称为跨域请求。那么为什么会出现Cors呢,首先要了解到同源策略,同源策略(Sameoriginpolicy)简称SOP,是一种约定,同源策略限制了网站与源域(来源)以外的资源进行交互的能力,每当跨不同来源 (域)发出请求而没有跨来源配置时,服务器将报告错误。而Cors就是通过特
CORS预检
getTheCheeseOfGod的博客
02-13 400
CORS是一种常见的跨域机制,一般由服务端提供一个Access-Control-Allow-Origin头来解决问题,但是这仅对一些“简单请求”有效。那么何谓“简单请求”呢?根据MDN的介绍,一个请求如果同时满足: 请求方法为GET HEAD POST中任意一种 请求头仅包含浏览器(代理)添加的头字段(User-Agent, Connection)、描述资源的头字段(Accept, Accept...
使用CORS实现JavaWeb跨域请求问题的方法
09-01
在JavaWeb中,我们可以自定义一个Filter来处理CORS请求。在给出的代码示例中,创建了一个名为`CorsFilter`的类,实现了`javax.servlet.Filter`接口。 1. **配置Filter**: 在`CorsFilter`类中,我们重写了`init`、...
基于CORS实现WebApi Ajax 跨域请求解决方法
10-19
在ASP.NET Web API中,可以通过创建自定义的`DelegatingHandler`来处理CORS请求。以下是一个简单的示例: ```csharp public class CorsHandler : DelegatingHandler { private const string Origin = "Origin"; ...
解决vue axios跨域 Request Method: OPTIONS问题(预检请求)
01-19
简单跨域不会发送options请求,复杂跨域会发送一个预检请求options。 1.简单跨域满足的条件 1.请求方式是以下三种之一: HEAD GET POST 2.HTTP的头信息不超出以下几种字段 Accept Accept-Language Content-...
Vue使用axios出现options请求方法
10-16
然而,有时在进行跨域请求时,浏览器会先发送一个预检请求(OPTIONS请求),这是由于CORS(Cross-Origin Resource Sharing,跨源资源共享)机制的规定。当请求的HTTP方法不是GET、HEAD、POST,或者请求头部包含...
简单了解django处理跨域请求最佳解决方案
09-17
确保`CorsMiddleware`位于`CommonMiddleware`之前,因为中间件的处理顺序是从上到下的,所以`CorsMiddleware`需要在先,以便它能在其他中间件之前处理预检请求(OPTIONS请求)。 ```python INSTALLED_APPS = [ # ....
vue根据url获取内容axios_VUE 数据请求和响应(axios)
weixin_39861905的博客
12-22 1695
1. 概述1.1 简介axios是一个基于Promise(本机支持ES6 Promise实现) 的HTTP库,用于浏览器和 nodejs 的 HTTP 客户端。具有以下特征:从浏览器中创建 XMLHttpRequestsXMLHttpRequest对象用于在后台与服务器交换数据,可做到在不重新加载页面的情况下更新网页,在页面已加载后从服务器请求数据或接收数据,在后台向服务器发送数据。所有的浏览器都...
cors里面的简单请求预检请求
zhuyuan123456的博客
02-22 395
咱们先来看简单请求 再来看预检请求 这两个,其实一个是另外一个的对立面。而且最大的不同在于,简单请求只发起一次网络请求。 而预检请求会发起两次,先发起一个option请求后,才会发起它真正的请求! ...
面试题:HTTP 常用 Method
Silence-Lee的博客
09-19 346
文章目录概述简单请求预检请求1.简单请求2.预检请求各个请求方法介绍GetPostHeadOptionsPut 与 PatchDelete方法与规范 概述 根据HTTP标准,HTTP请求可以使用多种请求方法。 HTTP1.0定义了三种请求方法: head、get、post方法。 HTTP1.1新增了五种请求方法:put、delete、options、trace、connect方法。 简单请...
CORS请求
weixin_30824277的博客
01-09 203
一、简介 CORS(跨域资源共享 Cross-origin resource sharing)是实现跨域的一种常用方式。实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信 二、CORS的两种请求 (1)简单请求(simple request) (2)非简单请求(not-so-simple request) 简单请求必须同时满足以下两大条件: 1、请求方式是:G...
CORS 简单请求+预检请求(彻底理解跨域)
qq_32849999的博客
11-15 1598
参考链接
CORS跨域请求简单请求与非简单请求
踏步修行
06-13 2339
原文地址:https://www.cnblogs.com/renpingsheng/p/7688134.html 先来看一个例子 定义 server01 的项目,在路由表中添加一条路由记录 url(r'^getData.html$',views.get_data) 对应的视图函数 from django.shortcuts import render,HttpResponse ...
CORS的两种请求方式
雪落凡尘
08-01 577
CORS是跨源资源分享,解决跨域的方法。 JSONP只能发送get请求CORS允许各种类型的请求。 跨域:协议,域名,端口三者存在不同。 请求有两种: 1.简单请求 请求方式为get post head http头信息不超出一下字段:Accept、Accept-Language 、 Content-Language、 Last-Event-ID、 Content-Type 2特殊请求 对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是applicatio
Springboot处理CORS跨域请求
09-09
Springboot处理CORS跨域请求的方式有多种。其中一种方式是通过委托给DefaultCorsProcessor来实现对CORS规则的校验。 另一种方式是使用@CrossOrigin注解,在控制器方法上添加该注解可以指定允许跨域的源、方法、头部信息等。这样在接收到跨域请求时,Springboot会自动处理CORS相关的响应头信息,实现跨域请求的处理。 浏览器将CORS请求分为两类:简单请求和非简单请求/预检请求。对于简单请求,浏览器会直接发送请求,而对于非简单请求,浏览器会先发送预检请求,获取服务器对跨域请求的授权信息。Springboot可以根据请求类型自动处理这两种类型的请求,包括在响应中添加Access-Control-Allow-Origin、Access-Control-Allow-Methods等头信息,以实现跨域请求的处理。 除了上述两种方式,还可以通过其他配置文件或过滤器来处理CORS跨域请求。例如,可以在application.properties或application.yml文件中添加相关配置,如设置Access-Control-Allow-Origin来指定允许跨域请求的源。另外,也可以通过编写自定义的过滤器来处理跨域请求,通过设置响应头信息来允许跨域请求的访问。不同的方式可以根据具体的需求选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值