http的options请求是什么鬼？

用户3258338

发布于 2019-07-19 16:51:31

1.1K0

发布于 2019-07-19 16:51:31

文章被收录于专栏：女程序员的日常_Lin

哈喽，大家好，今天是正月十七，年算是真正的过完了，各位宝宝有没有胖三斤？不说不开心的！资本寒冬和倒春寒，各位宝宝记得套上大棉袄、二棉裤哦！

speak is cheap!

在开发中你有没有遇到过发送请求时浏览器会先发送一个options请求，成功后再发送真正的请求？我遇到了，所以跟大家分享一下喽！

一、为什么会出现options请求呢？

options出现的情况只有两种：

1、获取目的资源所支持的通信方式

黑客有可能经常用到这个；在响应报文中包含一个 Allow 首部字段，该字段的值表明了服务器支持的所有 HTTP 方法，如下：

HTTP/1.1 200 OK
Allow: OPTIONS, GET, HEAD, POST
Cache-Control: max-age=604800
Date: Thu, 13 Oct 2016 11:45:00 GMT
Expires: Thu, 20 Oct 2016 11:45:00 GMT
Server: EOS (lax004/2813)
x-ec-custom-error: 1
Content-Length: 0

2、跨域请求中，options请求是浏览器自发起的preflight request(预检请求)，以检测实际请求是否可以被浏览器接受。

preflight request请求报文中有两个需要关注的首部字段：

（1）Access-Control-Request-Method ：告知服务器实际请求所使用的 HTTP 方法；

（2）Access-Control-Request-Headers ：告知服务器实际请求所携带的自定义首部字段。

同时浏览器也会添加origin header, 告知服务器实际请求的客户端的地址。服务器基于从预检请求获得的信息来判断，是否接受接下来的实际请求。

OPTIONS /resources/post-here/ HTTP/1.1
Host: bar.other
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type

服务器所返回的 Access-Control-Allow-Methods 首部字段将所有允许的请求方法告知客户端，返回将所有Access-Control-Request-Headers首部字段将所有允许的自定义首部字段告知客户端。此外，服务器端可返回Access-Control-Max-Age首部字段，允许浏览器在指定时间内，无需再发送预检请求，直接用本次结果即可。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

在我们开发过程中出现的浏览器自发起的options请求就是上面的第二种情况。实际上，跨域请求中的”复杂请求”发出前会进行一次方法是options的preflight request。

二、当跨域请求是简单请求时不会进行preflight request,只有复杂请求才会进行preflight request。

跨域请求分两种：简单请求、复杂请求；

符合以下任一情况的就是复杂请求：

1.使用方法put 或者delete;

2.发送json格式的数据（content-type: application/json）

3.请求中带有自定义头部；

除了满足以上条件的复杂请求其他的就是简单请求喽！

三、为什么跨域的复杂请求需要preflight request ？

复杂请求可能对服务器数据产生副作用。例如delete或者put,都会对服务器数据进行修改,所以在请求之前都要先询问服务器，当前网页所在域名是否在服务器的许可名单中，服务器允许后，浏览器才会发出正式的请求，否则不发送正式请求。

所有，我说清楚了吗？如有疑问或建议，就给我留言吧，等你……

愿我们有能力不向生活缴械投降---Lin