CORS预检请求详谈

引言

最近在项目中因前后端部署不同地方,前端在请求后端api时发生了跨域请求,我们采用CORS(跨域资源共享)来解决跨域请求,这需要前后端的配合来完成。在这一过程中,后端支持了CORS跨域请求后,前端的请求配置可能会调起CORS的preflight请求,也就是我们所说的预检请求。对CORS不太熟悉的可能会很容易忽视掉这个问题。下面就来说说CORS的preflight请求。CORS的基本用法不在本文讨论中,可以参考阮老师的跨站资源共享CORS详解

CORS prefligt请求

preflight请求,就是在发生cors请求时,浏览器检测到跨域请求,会自动发出一个OPTIONS请求来检测本次请求是否被服务器接受。一个OPTIONS请求一般会携带下面两个与CORS相关的头:

  • Access-Control-Request-Method : 本次预检请求的请求方法。
  • Access-Control-Request-Headers:本次请求所携带的自定义首部字段。这些字段是导致产生OPTIONS请求的一个原因。后面会讲到。

这样,服务端收到该预检请求后,会返回与CORS相关的响应头。主要会包括下面几个,但可能还会有其他的有关CORS字段:

  • Access-Control-Allow-Origin: 服务器允许的跨域请求源
  • Access-Control-Allow-Methods: 服务器允许的请求方法
  • Access-Control-Allow-Headers : 服务器允许的自定义的请求首部字段

服务器通过CORS跨域请求后,下面浏览器就会发生正式的数据请求。整个请求过程其实是发生了两次请求:一个预检请求,通过后的实际数据请求。这些都可以在浏览器网络请求中看到。可以参考下图:

需要注意的是:

1、在上面的两次请求中,预检请求只是一个检查的过程,它不会携带任何请求的参数;预检通过后的请求才会真正的携带请求参数与服务器进行数据通信。

2、若服务器对预检请求没有任何响应,那么浏览器不知道服务器是否支持CORS而不会发送后续的实际请求;或者服务器不支持当前的Origin跨域访问也不会发送后续请求。

发生preflight请求的条件

上面的预检请求并不是CORS请求的必须的请求过程,在一定的条件下并不需要发生预检请求。那么发生预检请求的条件是什么呢?根据HTTP访问控制(CORS)介绍,其实发生预检请求的条件:是否是简单请求。简单请求则直接发送具体的请求而不会产生预检请求。具体来说如下:

满足下面的所有条件就不会产生预检请求,也就是该请求是简单请求:

  • 请求方法是GETPOSTHEAD其中任意一个
  • 必须是下面定义对CORS安全的首部字段集合,不能是集合之外的其他首部字段。

    Accept、Accept-Language、Content-Language、Content-Type、DPR、Downlink、Save-Data、Viewport-Width、Width。

  • Content-Type的值必须是text/plainmultipart/form-dataapplication/x-www-form-urlencoded中任意一个值

满足上面所有的条件才不会发送预检请求,在实际项目中我们的请求格式可能是application/json格式编码,或者使用自定义请求头都会触发CORS的预检请求。

所以,在项目中是否会触发CORS的预检请求要做到心中有数。

一个发送的预检请求的列子

我们拿一个实际发生预检请求的例子来说明整个过程。考虑下面的一个例子:

var xhr = new XMLHttpRequest();
var url = ‘http://bar.other/resources/post-here/‘;
var body = ‘<?xml version="1.0"?><person><name>Arun</name></person>‘;

function callCors(){
  if(xhr)
    {
      xhr.open(‘POST‘, url, true);
      xhr.setRequestHeader(‘X-PINGOTHER‘, ‘pingpong‘);
      xhr.setRequestHeader(‘Content-Type‘, ‘application/xml‘);
      xhr.onreadystatechange = handler;
      xhr.send(body);
    }
}
......

上面请求中在请求中添加了自定义首部字段X-PINGOTHER,并且请求的Content-Type值application/xml。因此该请求首先会触发一个预检请求。具体的过程见下图

通过上图可以看到请求实际产生了2次与服务交互的过程,最后一次会将请求参数传给服务器。这样一个CORS请求过程就完成了。

需要注意的一个有关CORS的点:

对于附带身份凭证的请求(即服务器设置Access-Control-Allow-Credentials: true),服务器不得设置 Access-Control-Allow-Origin 的值为“*”。否则请求将会失败。

个人理解是Cookie还是遵循同源策略的,即使因为这个请求是跨域请求,所以每个Origin的Cookie是不能被其他Origin获取到的,也就是不允许Access-Control-Allow-Origin 的值为“*”。

参考文献

1、跨域资源共享 CORS 详解

2、HTTP访问控制(CORS)

3、CORS - How do ‘preflight‘ an httprequest?

时间: 2024-11-05 15:50:33

CORS预检请求详谈的相关文章

cors跨域之简单请求与预检请求(发送请求头带令牌token)

跨域浏览器请求应该是可以发出的,服务器不响应这种请求,同时跨域标准还要求浏览器不接受不同域名的服务器发来的响应.个人猜测 预检请求(option):在 CORS 中,可以使用 OPTIONS 方法发起一个预检请求(一般都是浏览检测到请求跨域时,会自动发起),以检测实际请求是否可以被服务器所接受.预检请求报文中的 Access-Control-Request-Method 首部字段告知服务器实际请求所使用的 HTTP 方法:Access-Control-Request-Headers 首部字段告知

CORS跨域请求限制-options预检请求

1 var express = require("express"); 2 var app = express(); 3 4 // app.get("/a", function(req,res){ 5 // // 设置" * "号表示允许任何域名来源的请求 6 // res.setHeader('Access-Control-Allow-Origin', '*'); 7 // res.json({"a":100}); 8 //

为什么请求会发送两次-预检请求opition

我们都知道cors请求分类两类:简单请求get,post,option:其他是复杂请求. 详情查看 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS 场景:很多时候发送一个post请求,结果却显示两个请求(一个option请求,一个post请求) 一.什么是options请求 OPTIONS请求即预检请求,用来检测服务器允许的http方法. 总共会发送两次请求.当发起跨域请求时,出于安全考虑,达到一定条件,

处理跨域Options预检请求

//处理跨域Options预检请求 if($_SERVER['REQUEST_METHOD'] == 'OPTIONS'){ //允许的源域名 header("Access-Control-Allow-Origin: *"); //允许的请求头信息 header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization"); //允许的请求

preflight request预检请求

preflight request预检请求,负责检查是否允许跨域请求,但是注意并不是所有的跨域请求都会发送preflight请求.对与那些幂等的请求,如GET请求,就不会发送preflight请求.只有那些会改变服务器状态的请求才可能发送preflight请求,如果POST.DELETE和PUT请求. preflight请求是一个OPTIONS请求,由浏览器自动发送,前端开发者不会意识到它的存在.preflight请求必须有这三个请求头Access-Control-Request-Method.

在fetch方法中添加header后遇到的预检请求问题

今天在使用fetch方法 fetch('xxx.com',{header:{bbbbbbb:111}}) 浏览器返回的请求信息中,header变成了 :authority:koss.nocorp.me :method:OPTIONS :path:/?a=1 :scheme:https accept:*/* accept-encoding:gzip, deflate, br accept-language:zh-CN,zh;q=0.8 access-control-request-headers:

cors 预请求

1.CORS的其他限制 默认允许的方法只有:GET.HEAD.POST默认允许的Content-Type:text/plain.multipart/form-data.applicaton/x-www-form-urlencoded默认允许请求头:https://fetch.spec.whatwg.org里面有介绍允许的头部XMLHttpRequestUpload对象均没有注册任何事件监听器请求中没有使用ReadableStream对象 2.预请求 “需预检的请求”要求必须首先使用 OPTION

CORS跨域请求总结

CORS跨域请求分为简单请求和复杂请求. 1. 简单请求: 满足一下两个条件的请求. (1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded.multipart/form-data.text/plain 2. 复杂请求: 非简单请求

CORS 跨域请求

一.简介 CORS需要浏览器和服务器同时支持.目前,所有浏览器都支持该功能,IE浏览器不能低于IE10. 整个CORS通信过程,都是浏览器自动完成,不需要用户参与.对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样.浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉. 因此,实现CORS通信的关键是服务器.只要服务器实现了CORS接口,就可以跨源通信. 二.两种请求 浏览器将CORS请求分成两类:简单请求(simple