http的options请求是什么鬼?

哈喽,大家好,今天是正月十七,年算是真正的过完了,各位宝宝有没有胖三斤?不说不开心的!资本寒冬和倒春寒,各位宝宝记得套上大棉袄、二棉裤哦!

speak is cheap!

在开发中你有没有遇到过发送请求时浏览器会先发送一个options请求,成功后再发送真正的请求?我遇到了,所以跟大家分享一下喽!

一、为什么会出现options请求呢?

options出现的情况只有两种:

1、获取目的资源所支持的通信方式

黑客有可能经常用到这个;在响应报文中包含一个Allow首部字段,该字段的值表明了服务器支持的所有HTTP方法,如下:

2、跨域请求中,options请求是浏览器自发起的preflight request(预检请求),以检测实际请求是否可以被浏览器接受。

preflight request请求报文中有两个需要关注的首部字段:

(1)Access-Control-Request-Method:告知服务器实际请求所使用的HTTP方法;

(2)Access-Control-Request-Headers:告知服务器实际请求所携带的自定义首部字段。

同时服务器也会添加origin header,告知服务器实际请求的客户端的地址。服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。

服务器所返回的Access-Control-Allow-Methods首部字段将所有允许的请求方法告知客户端,返回将所有Access-Control-Request-Headers首部字段将所有允许的自定义首部字段告知客户端。此外,服务器端可返回Access-Control-Max-Age首部字段,允许浏览器在指定时间内,无需再发送预检请求,直接用本次结果即可。

在我们开发过程中出现的浏览器自发起的options请求就是上面的第二种情况。实际上,跨域请求中的”复杂请求”发出前会进行一次方法是options的preflight request。

二、当跨域请求是简单请求时不会进行preflight request,只有复杂请求才会进行preflight request。

跨域请求分两种:简单请求、复杂请求;

符合以下任一情况的就是复杂请求:

1.使用方法put或者delete;

2.发送json格式的数据(content-type: application/json)

3.请求中带有自定义头部;

除了满足以上条件的复杂请求其他的就是简单请求喽!

三、为什么跨域的复杂请求需要preflight request?

复杂请求可能对服务器数据产生副作用。例如delete或者put,都会对服务器数据进行修改,所以在请求之前都要先询问服务器,当前网页所在域名是否在服务器的许可名单中,服务器允许后,浏览器才会发出正式的请求,否则不发送正式请求。

所有,我说清楚了吗?如有疑问或建议,就给我留言吧,等你……

愿我们有能力不向生活缴械投降---Lin

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190221G0R2K300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券