CORS是一种常见的跨域机制,一般由服务端提供一个Access-Control-Allow-Origin头来解决问题,但是这仅对一些“简单请求”有效。那么何谓“简单请求”呢?根据MDN的介绍,一个请求如果同时满足:

  1. 请求方法为GET HEAD POST中任意一种
  2. 请求头仅包含浏览器(代理)添加的头字段(User-Agent, Connection)、描述资源的头字段(Accept, Accept-Encoding, Accept-Language)等
  3. 如果请求头有Content-Type,其值仅为application/x-www-form-urlencoded, multipart/form-data, text/plain其中之一

那么它就是一个“简单请求”。只要有一条不满足,则不是“简单请求”,在CORS请求时需要先进行预检(preflight)。

预检指的是,浏览器先发一个OPTIONS请求到服务器,并使用Access-Control-Request-Method头标识即将发起请求的方法,使用Access-Control-Request-Headers标识不在上文第2条标识范围内的头字段名。服务器接收到预检请求之后,需要返回Access-Control-Allow-OriginAccess-Control-Allow-Methods标识支持预检的方法,Access-Control-Allow-Headers标识能够新增的请求字段名,同时返回Access-Control-Max-Age表明客户端可以缓存预检成功状态多少秒,在有效期内再次发送请求时不需预检。

预检请求成功返回后,浏览器会检验即将发送的请求方法、请求头是否符合服务端需要,如果满足则发送实际的请求,否则会在控制台报一个CORS错误。

下面来模拟一下整个过程:

客户端

客户端代码比较简单,我们构建一个XMLHttpRequest对象,然后发送一个非"简单请求",代码如下:

var req = new XMLHttpRequest()

req.onreadystatechange = function (e) {

    if (req.readyState === 4 && req.status === 200) {

        console.log('请求成功')

    }

}

req.open('GET', 'http://127.0.0.1:3003/static/pic', true)

req.setRequestHeader('X-Pong', 'ping')

req.send()

我们使用GET方法,但是新增了X-Pong头,这不是一个常规的头部,所以浏览器会发预检请求。

服务端

使用koa搭建一个简单的响应服务器

const fs = require('fs')

const path = require('path')

const util = require('util')

const Koa = require('koa2')

const Router = require('koa-router')

const app = new Koa()

const router = new Router()

router

.get('/', (ctx, next) => {

  ctx.body = 'index'

})

.options('/static/pic', (ctx, next) => {

  let reqMethod = ctx.headers['access-control-request-method']

  let origin = ctx.headers['origin'] || '*'

  // 打印预检请求头

  console.log(util.inspect(ctx.headers))

  if (/get/i.test(reqMethod)) {

    ctx.set({

      // 只支持GET方法

      'Access-Control-Allow-Method': 'GET',

      // 支持额外的X-Pong头部字段

      'Access-Control-Allow-Headers': 'X-Pong',

      'Access-Control-Allow-Origin': origin,

      // 预检有效缓存10分钟

      'Access-Control-Max-Age': '600'

    })

    ctx.status = 204

  } else {

    ctx.status = 405

    ctx.body = '<p>This resource can only be preflight by GET.</p>'

  }

})

.get('/static/pic', (ctx, next) => {

  // 这是正常的跨域CORS发送文件

  let origin = ctx.headers['origin'] || '*'

  let filePath = path.resolve(__dirname, '../mime/pic.jpg')

  ctx.set('Access-Control-Allow-Origin', origin)

  ctx.type = path.extname(filePath)

  ctx.body = fs.createReadStream(filePath)

})

app.use(router.routes())

app.use(router.allowedMethods())

app.listen(3003, function () {

  console.log('server running on port 3003...')

})

实验结果

启动服务器,然后在Chrome浏览器的Sources-Snippets面板中运行客户端代码,即可在node控制台看到浏览器发送的预检请求头:



打开浏览器的NetWork面板可以发现请求发送了两次,第一次是OPTIONS预检请求,第二次是GET方法获取图片。通过检视我们发现了预检响应头。



当然这个预检是满足要求的。我们有一些方法使得预检不能被满足:

  1. Access-Control-Allow-Headers中的X-Pong去掉,此时客户端要发送X-Pong但不被预检允许;
  2. Access-Control-Allow-Method改成其他方法,此时客户端发送GET请求获取资源不被允许;

这两种情况下浏览器控制台都会报错,感兴趣的不妨试下。

最后Access-Control-Max-Age表示预检成功结果缓存的时间,它受浏览器缓存控制。如果浏览器运行在disable cache模式,请求头默认携带cache-control: no-cachecache-control: max-age=0,此时预检缓存也将失效,OPTIONS请求会重新发送。

CORS预检的更多相关文章

  1. CORS预检请求详谈

    引言 最近在项目中因前后端部署不同地方,前端在请求后端api时发生了跨域请求,我们采用CORS(跨域资源共享)来解决跨域请求,这需要前后端的配合来完成.在这一过程中,后端支持了CORS跨域请求后,前端 ...

  2. ASP Net Core – CORS 预检请求

    CORS(跨源资源共享)是一种机制,它允许同一个来源运行的Web应用程序从在另一个来源运行的服务器访问资源.同源策略是一种非常严格的措施,因为它只允许与服务器起源于同一源的应用程序访问其资源.很多时候 ...

  3. 来自 CORS 预检通道的 CORS 头 'Access-Control-Allow-Headers' 的令牌 'appkey' 无效)。

    1.服务端: web.config文件中: <system.webServer> <httpProtocol> <customHeaders> <add na ...

  4. Cross-origin resource sharing JSON with Padding 同源策略 JSONP 为什么form表单提交没有跨域问题,但ajax提交有跨域问题? XMLHttpRequest and the Fetch API follow the same-origin policy 预检请求(preflight request)

    https://zh.wikipedia.org/wiki/跨来源资源共享 跨来源资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同域传来沙盒脚本的方法,以避开浏览器的同源策略[1 ...

  5. 在fetch方法中添加header后遇到的预检请求问题

    今天在使用fetch方法 fetch('xxx.com',{header:{bbbbbbb:111}}) 浏览器返回的请求信息中,header变成了 :authority:koss.nocorp.me ...

  6. 跨域请求中预检请求options之坑

    一.前言 因为跨域请求,浏览器可能(后面讲)会发送一次options请求,如果处理不好,跨域还是会gg的. 之前很少涉及跨域,涉及也是简单请求(下面阮老师文章中区别热简单请求和复杂请求),所以基本不会 ...

  7. Http跨域时候预检没通过的几种原因

    网上大多数涉及的原因(直接复制粘帖): CORS把HTTP请求分成两类,不同类别按不同的策略进行跨域资源共享协商. 1. 简单跨域请求. 当HTTP请求出现以下两种情况时,浏览器认为是简单跨域请求: ...

  8. DRF 中 解决跨域 与 预检

    DRF 中 解决跨域 与 预检 1 跨域 浏览器的同源策略: 对ajax请求进行阻拦 ps: 对href src属性 不限制 只有浏览器会阻止,requests模块不会存在跨域 (1)解决方案1 JS ...

  9. cors 预请求

    1.CORS的其他限制 默认允许的方法只有:GET.HEAD.POST默认允许的Content-Type:text/plain.multipart/form-data.applicaton/x-www ...

  10. 对CROS OPTIONS预检请求的一些思考

    前后端分离模大势所趋,跨域问题更是老生常谈. 问题背景: 浏览器最基本的安全规范-同源策略.所谓同源是指域名.协议.端口相同.不同源的浏览器脚本(javascript.ActionScript.can ...

随机推荐

  1. 人为提升服务器CPU、内存、硬盘使用率

    一.CPU使用率 vikyd/go-cpu-load: Generate CPU load on Windows/Linux/Mac (github.com) 所有CPU核心负载30%运行10秒钟 . ...

  2. T14 风扇狂转修整TPFanControl.ini 屏蔽pwr

    //注意标红部份屏蔽pwr //NEW: Set UseTWR=1 to see more sensors, will work only on newer T4xx// ATTENTION: if ...

  3. Jenkins拉取GitHub上代码

    1.github 生成 Personal Access Token 2.github 设置 GitHub webhooks (具体需要持续集成的项目),新建或者设置现有项目的 webhooks 选项, ...

  4. c函数调用过程

    一.内存结构内存大致可以分为四个部分:代码段,静态存储区,堆,栈.具体划分如下图所示: 栈:在执行函数时,函数内部局部变量的存储单元都可以在栈上创建,函数执行结束后会自动释放内存.栈内存的分配运算内置 ...

  5. 必备技能,MySQL 查找并删除重复行

    本文讲述如何查找数据库里重复的行.这是初学者十分普遍遇到的问题.方法也很简单.这个问题还可以有其他演变,例如,如何查找"两字段重复的行"(#mysql IRC 频道问到的问题) 如 ...

  6. SpringBoot中自动生成实体类及mapper

    参考博客: https://blog.csdn.net/qq_35387940/article/details/125777457 1.准备好数据库和表 mysql在windows环境下安装参考: h ...

  7. JSON::ParserError - 416: unexpected token at

    rm -rf ~/.cocoapods/repos/Spec_Lockandrm -rf ~/.cocoapods/repos/trunk/

  8. Oracle 低版本客户端连接19C报错ORA-28040

    # 适用范围12.2+# 问题概述客户使用Oracle11.2客户端连接Oracle 19c的时候,报错: ORA-28040: No matching authentication protocol ...

  9. tomcat多主多备

    主服务器默认轮询,当主服务器全部挂了,就会访问备机backup,备机也默认轮询

  10. Echarts中国地图下钻

    //各省份的地图json文件 var provinces = { '上海': '/asset/get/s/data-1482909900836-H1BC_1WHg.json', '河北': '/ass ...