CORS是一种常见的跨域机制,一般由服务端提供一个Access-Control-Allow-Origin头来解决问题,但是这仅对一些“简单请求”有效。那么何谓“简单请求”呢?根据MDN的介绍,一个请求如果同时满足:

  1. 请求方法为GET HEAD POST中任意一种
  2. 请求头仅包含浏览器(代理)添加的头字段(User-Agent, Connection)、描述资源的头字段(Accept, Accept-Encoding, Accept-Language)等
  3. 如果请求头有Content-Type,其值仅为application/x-www-form-urlencoded, multipart/form-data, text/plain其中之一

那么它就是一个“简单请求”。只要有一条不满足,则不是“简单请求”,在CORS请求时需要先进行预检(preflight)。

预检指的是,浏览器先发一个OPTIONS请求到服务器,并使用Access-Control-Request-Method头标识即将发起请求的方法,使用Access-Control-Request-Headers标识不在上文第2条标识范围内的头字段名。服务器接收到预检请求之后,需要返回Access-Control-Allow-OriginAccess-Control-Allow-Methods标识支持预检的方法,Access-Control-Allow-Headers标识能够新增的请求字段名,同时返回Access-Control-Max-Age表明客户端可以缓存预检成功状态多少秒,在有效期内再次发送请求时不需预检。

预检请求成功返回后,浏览器会检验即将发送的请求方法、请求头是否符合服务端需要,如果满足则发送实际的请求,否则会在控制台报一个CORS错误。

下面来模拟一下整个过程:

客户端

客户端代码比较简单,我们构建一个XMLHttpRequest对象,然后发送一个非"简单请求",代码如下:

var req = new XMLHttpRequest()

req.onreadystatechange = function (e) {

    if (req.readyState === 4 && req.status === 200) {

        console.log('请求成功')

    }

}

req.open('GET', 'http://127.0.0.1:3003/static/pic', true)

req.setRequestHeader('X-Pong', 'ping')

req.send()

我们使用GET方法,但是新增了X-Pong头,这不是一个常规的头部,所以浏览器会发预检请求。

服务端

使用koa搭建一个简单的响应服务器

const fs = require('fs')

const path = require('path')

const util = require('util')

const Koa = require('koa2')

const Router = require('koa-router')

const app = new Koa()

const router = new Router()

router

.get('/', (ctx, next) => {

  ctx.body = 'index'

})

.options('/static/pic', (ctx, next) => {

  let reqMethod = ctx.headers['access-control-request-method']

  let origin = ctx.headers['origin'] || '*'

  // 打印预检请求头

  console.log(util.inspect(ctx.headers))

  if (/get/i.test(reqMethod)) {

    ctx.set({

      // 只支持GET方法

      'Access-Control-Allow-Method': 'GET',

      // 支持额外的X-Pong头部字段

      'Access-Control-Allow-Headers': 'X-Pong',

      'Access-Control-Allow-Origin': origin,

      // 预检有效缓存10分钟

      'Access-Control-Max-Age': '600'

    })

    ctx.status = 204

  } else {

    ctx.status = 405

    ctx.body = '<p>This resource can only be preflight by GET.</p>'

  }

})

.get('/static/pic', (ctx, next) => {

  // 这是正常的跨域CORS发送文件

  let origin = ctx.headers['origin'] || '*'

  let filePath = path.resolve(__dirname, '../mime/pic.jpg')

  ctx.set('Access-Control-Allow-Origin', origin)

  ctx.type = path.extname(filePath)

  ctx.body = fs.createReadStream(filePath)

})

app.use(router.routes())

app.use(router.allowedMethods())

app.listen(3003, function () {

  console.log('server running on port 3003...')

})

实验结果

启动服务器,然后在Chrome浏览器的Sources-Snippets面板中运行客户端代码,即可在node控制台看到浏览器发送的预检请求头:



打开浏览器的NetWork面板可以发现请求发送了两次,第一次是OPTIONS预检请求,第二次是GET方法获取图片。通过检视我们发现了预检响应头。



当然这个预检是满足要求的。我们有一些方法使得预检不能被满足:

  1. Access-Control-Allow-Headers中的X-Pong去掉,此时客户端要发送X-Pong但不被预检允许;
  2. Access-Control-Allow-Method改成其他方法,此时客户端发送GET请求获取资源不被允许;

这两种情况下浏览器控制台都会报错,感兴趣的不妨试下。

最后Access-Control-Max-Age表示预检成功结果缓存的时间,它受浏览器缓存控制。如果浏览器运行在disable cache模式,请求头默认携带cache-control: no-cachecache-control: max-age=0,此时预检缓存也将失效,OPTIONS请求会重新发送。

CORS预检的更多相关文章

  1. CORS预检请求详谈

    引言 最近在项目中因前后端部署不同地方,前端在请求后端api时发生了跨域请求,我们采用CORS(跨域资源共享)来解决跨域请求,这需要前后端的配合来完成.在这一过程中,后端支持了CORS跨域请求后,前端 ...

  2. ASP Net Core – CORS 预检请求

    CORS(跨源资源共享)是一种机制,它允许同一个来源运行的Web应用程序从在另一个来源运行的服务器访问资源.同源策略是一种非常严格的措施,因为它只允许与服务器起源于同一源的应用程序访问其资源.很多时候 ...

  3. 来自 CORS 预检通道的 CORS 头 'Access-Control-Allow-Headers' 的令牌 'appkey' 无效)。

    1.服务端: web.config文件中: <system.webServer> <httpProtocol> <customHeaders> <add na ...

  4. Cross-origin resource sharing JSON with Padding 同源策略 JSONP 为什么form表单提交没有跨域问题,但ajax提交有跨域问题? XMLHttpRequest and the Fetch API follow the same-origin policy 预检请求(preflight request)

    https://zh.wikipedia.org/wiki/跨来源资源共享 跨来源资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同域传来沙盒脚本的方法,以避开浏览器的同源策略[1 ...

  5. 在fetch方法中添加header后遇到的预检请求问题

    今天在使用fetch方法 fetch('xxx.com',{header:{bbbbbbb:111}}) 浏览器返回的请求信息中,header变成了 :authority:koss.nocorp.me ...

  6. 跨域请求中预检请求options之坑

    一.前言 因为跨域请求,浏览器可能(后面讲)会发送一次options请求,如果处理不好,跨域还是会gg的. 之前很少涉及跨域,涉及也是简单请求(下面阮老师文章中区别热简单请求和复杂请求),所以基本不会 ...

  7. Http跨域时候预检没通过的几种原因

    网上大多数涉及的原因(直接复制粘帖): CORS把HTTP请求分成两类,不同类别按不同的策略进行跨域资源共享协商. 1. 简单跨域请求. 当HTTP请求出现以下两种情况时,浏览器认为是简单跨域请求: ...

  8. DRF 中 解决跨域 与 预检

    DRF 中 解决跨域 与 预检 1 跨域 浏览器的同源策略: 对ajax请求进行阻拦 ps: 对href src属性 不限制 只有浏览器会阻止,requests模块不会存在跨域 (1)解决方案1 JS ...

  9. cors 预请求

    1.CORS的其他限制 默认允许的方法只有:GET.HEAD.POST默认允许的Content-Type:text/plain.multipart/form-data.applicaton/x-www ...

  10. 对CROS OPTIONS预检请求的一些思考

    前后端分离模大势所趋,跨域问题更是老生常谈. 问题背景: 浏览器最基本的安全规范-同源策略.所谓同源是指域名.协议.端口相同.不同源的浏览器脚本(javascript.ActionScript.can ...

随机推荐

  1. 【转载】synopsys中工具介绍,VCS,DC,PT等

    https://blog.csdn.net/fangxiangeng/article/details/80981536

  2. (1127)arm 架构, c++模板

    (1)ARM M0 (2)c++形参

  3. matlab算符合集

    1.逻辑算符 1)且 : A & B -- 两个逻辑数组之间 逐个元素 进行逻辑"与"操作 AB可为矩阵. 首先判断表达式A的逻辑值,然后判断B,继而进行逻辑"与 ...

  4. 超强大的PS汉化插件Specs 一键尺寸标注

    尺寸标注是大多数设计师必不可少的细节工作,特别是在一些特定的设计图中,标注至关重要.大部分设计大大都直接用CAD标注,其实借助插件,PS也是完全可以搞定常见的尺寸标注的. 插件介绍 这是一款超级强大的 ...

  5. python_test_0001_base_string

    #!/usr/bin/python # -*- coding: UTF-8 -*- from lib_001_decorator_log_funcname import decorator_log_f ...

  6. nginx,git,maven面试题

    1.简述一下什么是Nginx,它有什么优势和功能? Nginx是一个web服务器和方向代理服务器,用于HTTP.HTTPS.SMTP.POP3和IMAP协议.因 它的稳定性.丰富的功能集.示例配置文件 ...

  7. NSQ(8)-有赞相关改进

    如何保证消息队列的高可用(HA) NSQ 本身就是一个分布式消息队列,且支持水平扩展,无单点故障,能在无中断的情况下无缝添加集群结点. nsq用到了集群去保证整个服务的高可用,但并不能保证单个topi ...

  8. 将pb模型参数提取转成torch模型

    1 import tensorflow as tf 2 import onnx 3 import onnxsim 4 import numpy as np 5 import torch 6 from ...

  9. java 基本知识点

    多线程 加载器 数据结构 内存模型 gc算法

  10. LOOP GROUP BY 分组循环的使用方法小栗子

    原文链接:https://blog.csdn.net/lmf496891416/article/details/111317377 1.格式: LOOP AT 内表 INTO DATA(工作区) GR ...