发送请求时会自动创建一个options请求

最新推荐文章于 2025-04-18 09:18:31 发布
转载 最新推荐文章于 2025-04-18 09:18:31 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.csdn.net/luanxiyuan/article/details/100137496
文章标签:

#前端 #javascript

原因:浏览器在某些请求中,在正式通信前会增加一次HTTP查询请求,称为"预检"请求preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

本地环境请求接口的时候,每次请求接口之前都会多一次OPTIONS请求。

由此延申了解到浏览器江CORS请求分为两类:简单请求(simple request)和非简单请求(not-so-simple request)。

同时满足以下条件,就是简单请求:

1) 请求方法是以下三种方法之一:

HEAD

GET

POST

2HTTP的头信息不超出以下几种字段:

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。

如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。都以Access-Control- 开头:

(1)Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。

(2)Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

(3)Access-Control-Expose-Headers

该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

我工作中写的所有页面拉的接口都是非简单请求。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

在页面域名与接口域名不一致的情况下,就出现了每次请求前先发送一个options请求的问题。

OPTIONS请求头信息中,除了Origin字段,还至少会多两个特殊字段:

(1)Access-Control-Request-Method

该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法。

(2)Access-Control-Request-Headers

该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段。

至于其他乱七八糟的字段,现在的我还用不到也不懂,将会慢慢深入了解。

服务器收到预检请求后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认允许跨源请求,就可以做出回应。

上面的HTTP回应中,关键的是Access-Control-Allow-Origin字段,表示http://lizard.qa.nt.ctripcorp.com可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。

如果浏览器否定了"预检"请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。控制台会打印出如下的报错信息。

XMLHttpRequest cannot load http://lizard.qa.nt.ctripcorp.com

Origin http://lizard.qa.nt.ctripcorp.com is not allowed by Access-Control-Allow-Origin.

其他字段中Access-Control-Max-Age 用来指定本次预检请求的有效期,单位为秒。该字段可选。

原文链接:https://blog.csdn.net/luanxiyuan/article/details/100137496

云游的猪
关注
微信小程序分享功能onShareAppMessage(options)用法分析
菲宇运维
10-14 6283
在页面的js文件中定义了 onShareAppMessage 函数时,页面可以表示改页面可以转发。可以在函数中设置页面转发的信息。 1. 只有定义了该函数,小程序右上角的菜单中才会有转发按钮 2. 用户点击转发按钮的时候回调用该函数 3. 该函数内需要 return 一个 Object,Object中包含转发的信息(可自定义转发的内容) 页面中有可以触发转发时间的地方有两个:   一个是...
Scrapy爬虫框架 Requests and Responses 请求和响应
热门推荐
Mr数据杨
02-01 3万+
在本教程中,我们系统地讲解了如何使用Python的requests库来处理HTTP请求和响应。从基本的请求对象和响应对象操作,到错误处理、请求元数据的使用,以及如何处理特定类型的响应,本教程覆盖了网络编程中的关键概念和实用技巧。希望这份教程能帮助你在自学编程的道路上更进一步。如果遇到任何疑问或需要进一步的指导,建议实践并参考官方文档或相关资料。网络编程是一个非常实用的技能,掌握它将为你的编程之路打开更可能性。
前端一个options请求?是Bug吗?
KIKI_20170120的博客
03-02 889
预检请求是由浏览器自动发起的一个额外的 OPTIONS 请求,以获知服务器是否授权后续的实际请求,是为保护客户端的安全,防止不受信任网站利用用户浏览器向其他网站发恶意请求。半信半疑:明明一次请求,干嘛要两次呢,这不是增大服务端压力吗?Orign: 表示允许该来源的请求说明资源是共享的,可以拿到;开发解释:这不用管,是浏览器默认发送一个预检请求。:告知服务器实际请求所携带的自定义首部字段。就是预检请求,预先检查服务器是否支持。2、什么时候触发预检请求?:告知服务器实际请求使用的。请求,并确认实际请求的。
Axios中每次发送post请求前都会发送options请求
willluckysmile的博客
03-11 2483
今天写前端的时候,发现每次post请求都会失败, 反复调试过后发现axios在每次发送post请求前都发送options请求, 在网络搜罗了一大圈, 发现了原因是因为web页面发送请求给vue后, vue再请求后端过程中发生了跨域, 而我使用的不是默认的跨域允许请求头, 而是content-type: application/json, 所以浏览器认为跨域即是不可靠行为, 所以每次都需要发送options请求, 进行跨域检测, 所以导致了每次options请求失败了, 所以post请求就没有下文了。
【Ajax】发送跨域的POST请求时,浏览器会先发送一次OPTIONS请求,然后才发送原本的POST请求
小秀的博客
08-29 1682
在实际请求之前,浏览器向服务器发送一个预检请求,询问服务器是否允许跨域请求以及允许哪些HTTP方法、头部字段等。当发送跨域的POST请求时,浏览器会先发送一次OPTIONS请求,这是因为浏览器的同源策略。需要注意的是,简单请求(GET/www-form-urlencoded、multipart/form-data或text/plain)不会触发预检请求,浏览器会直接发送实际请求。如果服务器允许当前请求的跨域访问,那么浏览器才会发起实际的POST请求。否则,浏览器将阻止请求,并在控制台报告错误。
测试妹子提了个bug,为什么你了个options请求
Maisu的博客
03-10 250
以上报文中就可以看到,使用了OPTIONS请求,浏览器根据上面的使用的请求参数来决定是否需要发送,这样服务器就可以回应是否可以接受用实际的请求参数来发送请求。此时不管服务端返回的是什么,浏览器都会把返回拦截,并检查返回的response的header中有没有Access-Control-Allow-Origin是否为true,说明资源是共享的,可以拿到。发送跨域请求时,请求头中包含了一些非简单请求的头信息,例如自定义头(custom header)等;只要不满足简单请求的条件,都认为是非简单请求
node作为中间服务层如何发送请求(发送请求的实现方法详解)
08-28
然后,我们创建一个HTTP请求,并定义了当响应到达时的回调函数,该函数会打印出响应的状态码、头部信息以及响应体。 对于GET请求,数据通常包含在URL中,就像上面的例子所示。但这种方式不适合传递大量数据,因为...
面试题:Java全栈开发中为什么post会发送两次请求
最新发布
m0_75236543的博客
04-18 982
预检请求是浏览器在发送某些跨域请求前,先发送一个OPTIONS请求询问服务器是否允许该实际请求。这是浏览器的安全策略,目的是保护用户数据安全。预检请求包含以下关键头部:Access-Control-Request-Method: 告知服务器实际请求将使用的方法Access-Control-Request-Headers: 告知服务器实际请求将携带的自定义头部Origin: 请求来源在Java全栈开发中,POST请求发送两次的现象主要由预检请求机制、服务器重定向、前端重复提交等种因素造成。
groovy http请求
11-26
然后,你可以创建一个HttpClient实例并发送请求: ```groovy import org.apache.http.HttpEntity import org.apache.http.client.methods.CloseableHttpResponse import org.apache....
SpringBoot使用RestTemplate实现发送HTTP请求
pan_junbiao的博客
10-19 1669
RestTemplate 是 Spring 框架提供的一个用于访问 RESTful 服务的客户端工具,它简化了与 RESTful 服务的交互,并提供了一系列方便的方法来发送 HTTP 请求、处理响应以及处理错误。RestTemplate 提供了一组简单易用的方法,使得发送HTTP请求变得非常简单和直观。RestTemplate 可以自动请求和响应的 JSON/XML 数据转换为 Java 对象,简化了数据的处理过程。
vue发送请求时总一个options请求,该请求拥有独立的sessionid
souwer的博客
05-06 4402
vue发送请求时总一个options请求,该请求拥有独立的sessionid
为什么会有options预检请求?能否移除?
weixin_44421461的博客
02-01 1954
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
http请求发生了两次(options请求
dianchou8532的博客
03-26 3154
前言 自后台restful接口流行开来,请求了两次的情况(options请求)越来越普遍。笔者也在实际的项目中遇到过这种情况,做一下整理总结。 文章书写思路: 为什么发生两次请求 http的请求方式,包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT等八种请求方式。其中,get与post只是我们常用的请求方式。 我们能在图一...
前端面试之 options 请求详解
kjssjj12的博客
06-15 3960
options 请求就是预检请求,可用于检测服务器允许的 http 方法。当发起跨域请求时,由于安全原因,触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求,即 CORS 预检请求,服务器若接受该跨域请求,浏览器才继续发起正式请求。HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为"*")使用该方法。(简而言之,就是可以用 options 请求去嗅探某个请求在对应的服务器中都支持
微信小程序之页面分享onShareAppMessage(option)
兴华的博客
03-25 3万+
微信小程序之页面分享:onShareAppMessage(option)
小程序的分享 onShareAppMessage(options)
10-17 3881
在页面的js文件中定义了 onShareAppMessage 函数时,页面可以表示改页面可以转发。可以在函数中设置页面转发的信息。 只有定义了该函数,小程序右上角的菜单中才会有转发按钮 用户点击转发按钮的时候回调用该函数 该函数内需要 return 一个 Object,Object中包含转发的信息(可自定义转发的内容) 页面中有可以触发转发时间的地方有两个:   一个是右上角菜单中的转发按钮   另一个是页面中具有属性open-type且其值为share的button。(注:必须是button组件,其他组
如何处理接口重复请求
qq_35690127的博客
06-04 1875
前言 一些用户请求在某些情况下是可能重复发送的,如果是查询类操作并无大碍,但其中有些涉及写入操作,一旦重复了,可能会导致很严重的后果。例如交易接口如果重复请求,可能会重复下单。 重复的场景有可能是: 黑客拦截了请求,重放; 前端/客户端因为某些原因请求重复发送了,或者用户在很短的时间内重复点击了; 网关重发; …… 本文讨论的是如何在服务端优雅地统一处理这种情况,如何禁止用户重复点击等客户端操作不在本文的讨论范畴。 利用唯一请求编号去重...
uniapp 微信小程序分享功能 onShareAppMessage(options)
weixin_71403100的博客
11-16 1万+
uniapp 微信小程序分享功能 onShareAppMessage(options)
VUE axios为什么会发送options和post请求
dreamLeadToword的专栏
05-23 1189
在使用Vue和Axios进行HTTP请求时,当浏览器发现跨域请求时,会先发送一个OPTIONS预检请求,以确认服务器是否支持该跨域请求。如果服务器支持该跨域请求,则浏览器再发送POST请求来获取数据。这是因为跨域请求需要遵循同源策略,即只能向同一域名、端口和协议发起HTTP请求。而当我们使用Vue和Axios向不同的域名、端口或协议发起HTTP请求时,就会触发跨域问题。为了解决这个问题,浏览器会首先发送一个OPTIONS预检请求来询问服务器是否允许该跨域请求
请求方法: OPTIONS,这个区分post请求
03-18
<think>好的,用户问的是关于HTTP请求方法中的OPTIONS和POST的区别。首先我要回忆一下HTTP的各种方法,确保自己理解正确。OPTIONS方法用于获取目标资源所支持的通信选项,比如服务器支持的请求方法,或者CORS相关的信息。而POST方法则是用来提交数据到指定的资源,通常会导致服务器端的状态变化,比如创建新资源。 接下来需要确认用户的需求。用户可能是在开发Web应用或者API时遇到了问题,需要明确两者的区别。可能他们遇到了CORS预检请求的问题,或者想了解不同请求方法的使用场景。需要解释清楚两者的用途和典型应用场景,避免混淆。 然后要组织回答的结构。先分别介绍OPTIONS和POST,再对比它们的用途、触发场景、请求体有无、是否幂等、安全性等特性。同时,可能需要举一些例子,比如OPTIONS在CORS中的使用,POST在表单提交中的应用。 还要注意用户之前提到的格式要求,比如行内公式用$...$,独立公式用$$...$$,但这个问题可能不涉及数学公式,所以重点放在清晰的中文解释和结构上。使用列表或分段来使信息更易读。 检查是否有常见的误解需要澄清。例如,OPTIONS方法是否真的不会修改资源,POST是否总是非幂等的,以及CORS预检请求的具体流程。确保回答准确无误,避免误导用户。 最后,确保语言简洁明了,符合技术文档的风格,同时保持口语化,方便用户理解。可能需要提醒用户在实际开发中的注意事项,比如正确设置CORS头信息,或者处理POST请求时的安全性问题。</think>以下是关于HTTP请求方法OPTIONS与POST的对比解析: --- ### **一、OPTIONS方法** 1. **核心用途** - 用于**探测目标资源支持的HTTP方法** - 在跨域资源共享(CORS)中作为**预检请求**(Preflight Request) - 示例: ```http OPTIONS /api/data HTTP/1.1 Host: example.com Access-Control-Request-Method: POST ``` 2. **关键特性** - **无请求体**:不携带实际数据 - **安全且幂等**:不会修改服务器资源 - **响应头包含支持的方法**:如`Allow: GET, POST, OPTIONS` --- ### **二、POST方法** 1. **核心用途** - **提交数据到指定资源**(如表单提交、文件上传) - 通常触发**服务器端状态变更**(如创建新记录) - 示例: ```http POST /api/users HTTP/1.1 Content-Type: application/json {"name": "张三", "age": 25} ``` 2. **关键特性** - **有请求体**:携带实际传输的数据(如JSON、表单数据) - **非幂等**:次相同请求可能产生不同结果(如重复创建资源) - **非安全方法**:可能修改服务器状态 --- ### **三、核心差异对比** | 特性 | OPTIONS | POST | |---------------------|------------------------------------|-----------------------------------| | **用途** | 探测支持方法/CORS预检 | 提交数据并触发操作 | | **请求体** | 无 | 有(携带数据) | | **幂等性** | 幂等 | 非幂等 | | **安全性** | 安全(不修改资源) | 非安全(可能修改资源) | | **典型响应码** | 200 OK(包含`Allow`头) | 201 Created / 200 OK | --- ### **四、实际场景示例** - **CORS预检流程**: 浏览器先发送`OPTIONS`请求检测是否允许跨域POST: ```http OPTIONS /api/data HTTP/1.1 Origin: https://client.com Access-Control-Request-Method: POST ``` 服务器响应确认后,才会发送实际POST请求。 - **表单提交**: 用户提交注册表单时,浏览器自动生成POST请求: ```http POST /register HTTP/1.1 Content-Type: application/x-www-form-urlencoded username=test&password=123456 ``` --- 如需进一步了解其他HTTP方法(如GET/PUT/DELETE)的区别,可随时提出补充问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值