Author: haoransun
Wechat: SHR—97
1 Request Headers
origin: 客户端发出请求的地址
Access-Control-Request-Headers:authorization
Access-Control-Request-Method:Get
2 Response Headers
Access-Controll-Allow-Origin: httpRequest.getHeader(“Origin”)
Access-Control-Allow-Headers:
Authorization,
Content-Type,
Depth,
User-Agent,
X-File-Size,
X-Requested-With,
X-Requested-By,
If-Modified-Since,
X-File-Name,
X-File-Type,
Cache-Control,
Origin
Access-Control-Allow-Methods:
POST , GET, OPTIONS, PUT, DELETE
Access-Control-Max-Age: 3600
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers:
Authorization,
Content-Disposition
3 http 中的options 请求是什么鬼?
3.1 为什么会出现 options 请求呢?
获取目的资源所支持的通信方式
黑客有可能经常用到这个;在响应报文中包含一个Allow首部字段,该字段的值表明了该服务器支持的HTTP方法,跨域请求中,options请求是浏览器自发起的 preflight request(预检请求),以检测实际请求是否可以被浏览器接受。
preflight request 请求报文中有两个需要关注测首部字段:
(1)Access-Control-Request-Method: 告知服务器实际请求所使用的HTTP方法。
(2)Access-Control-Request-Headers:告知服务器实际请求所携带的自定义首部字段。
同时服务器也会添加 origin header,告知服务器实际上请求的客户端地址。服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。
服务器所返回的 Access-Control-Allow-Methods首部字段 将所有允许的请求方法告知客户端,返回 Access-Control-Allow-Headers: 将所有允许的客户端自定义请求头告知。此外,服务器还可返回 Access-Control-Max-Age 首部字段,允许浏览器在指定时间内,无需再次发送预检请求,直接用本次结果即可。
在我们开发中,出现的浏览器自发起的Options请求,实际上是上述第二种情。实际上,跨域请求中的“复杂请求”发出前会进行 一次方法是:options的 preflight request。
3.2 当跨域请求是简单请求时不会进行 preflight request,只有复杂请求才会进行 preflight request。
跨域请求分两种:简单请求、复杂请求
复杂请求:
- 使用方法put 或者 delete
- 发送 json 格式的数据(content-type;application/json)
- 请求中带有自定义头部
其他的就是简单请求。
4 为什么跨域的复杂请求需要 preflight request?
复杂请求可能对服务器数据产生副作用。例如:delete 或者 put ,都会对服务器数据进行修改,所以在请求之前都要先询问服务器,当前网页所在域名是否在服务器的许可名单中,服务器允许后,浏览器才会发出正式的请求,否则不发送正是请求。