2. 程式人生 > 實用技巧 >HTTP OPTIONS跨域請求

HTTP OPTIONS跨域請求

阿新 發佈:2020-10-27

一、場景

今天在監測跨域程式碼時發現,在呼叫後端介面的時候會出現兩次請求:OPTIONS請求和POST請求。程式碼如下:

/// <summary>
/// 自定義中介軟體要執行的邏輯
/// </summary>
/// <param name="context"></param>
/// <returns></returns>
public async Task Invoke(HttpContext context)
{
  context.Response.Headers.Add("Access-Control-Allow-Origin", "*");
  context.Response.Headers.Add(
 
"Access-Control-Allow-Headers", "*");
  context.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
  //若為OPTIONS跨域請求則直接返回,不進入後續管道
  if (context.Request.Method.ToUpper() != "OPTIONS")
    await _next(context);//把context傳進去執行下一個中介軟體
}

二、原因

XMLHttpRequest會遵守同源策略(same-origin policy),即指令碼只能訪問相同協議/相同主機名/相同埠的資源。 突破這個限制的情況叫做跨域,此時需要遵守跨域資源共享標準CORS(Cross-Origin Resource Sharing)機制。瀏覽器將CORS請求分為兩類:簡單跨域請求(simple request)和非簡單跨域請求(not-simple-request)。簡單請求瀏覽器請求不會觸發預檢請求,而非簡單請求會觸發預檢請求。

三、跨域請求

跨域請求分為簡單跨域請求和非簡單跨域請求,這兩種方式是怎麼區分的呢?

1、簡單跨域請求

(1)同時滿足下列以下條件,就屬於簡單請求,否則屬於非簡單請求

  • 請求方式只能是:GET、POST、HEAD
  • HTTP請求頭限制以下幾種欄位(不得人為設定該集合之外的其他首部欄位):
Accept、Accept-Language、Content-Language、Content-Type(需要注意額外的限制)、DPR、Downlink、Save-Data、Viewport-Width、Width
  • Content-type只能取:application/x-www-form-urlencoded、multipart/form-data、text/plain
  • 請求中的任意XMLHttpRequestUpload 物件均沒有註冊任何事件監聽器;XMLHttpRequestUpload 物件可以使用 XMLHttpRequest.upload 屬性訪問。
  • 請求中沒有使用 ReadableStream 物件。

(2)簡單請求瀏覽器請求不會觸發預檢請求

2、非簡單跨域請求

非簡單請求會在正式通訊之前,增加一次HTTP請求,稱之為預檢請求。瀏覽器會先發起OPTIONS方法到伺服器,以獲知伺服器是否允許該實際請求。

四、如何避免非簡單跨域請求

我們通過上邊已經知道,只要滿足簡單請求的條件就可以避免發起OPTIONS請求,但是在實際開發中,簡單請求肯定不會滿足需求,比如以下請求:

  • 我們系統請求中除了GET/POST還有PUT,DELETE
  • 系統做了許可權認證,請求頭裡需要帶有使用者驗證資訊
  • 我們的Content-Type絕大多數是application/json

然後只能寄希望於減少發起OPTIONS請求的次數,也就是說還是會用,但不是每次都用,方法命令如下:

Access-Control-Max-Age:(number) 數值代表預檢請求的返回結果 可以被快取多久,單位是秒

例如將預檢請求的結果快取10分鐘:

/// <summary>
/// 自定義中介軟體要執行的邏輯
/// </summary>
/// <param name="context"></param>
/// <returns></returns>
public async Task Invoke(HttpContext context)
{
  context.Response.Headers.Add("Access-Control-Allow-Origin", "*");
   context.Response.Headers.Add("Access-Control-Allow-Headers", "*");
   context.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
   context.Response.Headers.Add("Access-Control-Max-Age", "600");
   //若為OPTIONS跨域請求則直接返回,不進入後續管道
   if (context.Request.Method.ToUpper() != "OPTIONS")
       await _next(context);//把context傳進去執行下一個中介軟體
}

注意:

  • 不同瀏覽器有不同的上限,在Firefox中上限是24h,而在Chromium中則是10min,Chromium同時規定了一個預設值 5 秒。如果值為-1,則表示禁用快取,每一次請求都需要提供預檢請求。
  • Access-Control-Max-Age方法對完全一樣的url的快取設定生效,多一個引數也視為不同url。也就是說,如果設定了10分鐘的快取,在10分鐘內,所有請求第一次會產生options請求,第二次以及第二次以後就只發送真正的請求了。

相關推薦

HTTP OPTIONS請求

一、場景 今天在監測程式碼時發現,在呼叫後端介面的時候會出現兩次請求OPTIONS請求和POST請求。程式碼如下:

Python Tornado之請求Options請求方式

問題背景 公司的專案是前後端分離,前端Vue+後端JavaSpringBoot為主,部分功能是PythonTornado,那麼需要支援一個是以及Options請求

spring security中的csrf防禦原理(請求偽造)

什麼是csrf? csrf又稱跨域請求偽造,攻擊方通過偽造使用者請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社群和互動網站分別爆出

Spring Boot和Vue請求問題原理解析

這篇文章主要介紹了Spring Boot和Vue請求問題原理解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Nginx配置請求Access-Control-Allow-Origin * 詳解

前言 當出現403錯誤的時候 No \'Access-Control-Allow-Origin\' header is present on the requested resource,需要給Nginx伺服器配置響應的header引數:

原生js實現ajax請求和JSONP請求操作示例

本文例項講述了原生js實現ajax請求和JSONP請求。分享給大家供大家參考,具體如下:

簡單瞭解django處理請求最佳解決方案

一、什麼是跨域請求 跨域: 簡單來說就是 A 網站的 javascript 程式碼試圖訪問 B 網站,包括提交內容和獲取內容。這顯然是不安全的。為此,瀏覽器的鼻祖:網景(Netscape)公司提出了優秀的解決方案:著名的瀏覽器同

ASP.NET WebApi+Vue前後端分離之允許啟用請求

原文:ASP.NET WebApi+Vue前後端分離之允許啟用請求目錄導航:前言:一、解決Vue報錯:OPTIONS 405 Method Not Allowed問題:錯誤重現:解決方法:二、解決ASP.NET WebApi資源共享-Cross Origin Resource Sha

Springboot處理CORS請求的三種方法

前言 Springboot問題,是當前主流web開發人員都繞不開的難題。但我們首先要明確以下幾點

C#+.netFrameWork4.5.2+WebAPI+Jquery+Ajax請求問題

webAPI給予.net frameWork4.5.2 選中webAPI專案=》nuget包管理器=》輸入microsoft.aspnet.webapi.cors=》安裝

NodeJS_0003:nodejs 設定允許請求

1, index.js檔案中:var http = require(\'http\'); var express = require(\'express\'); var router = express.Router();

同源策略和請求解決方案

轉載連結:https://www.jianshu.com/p/bce07495b77c 一、一個源的定義 如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的源。舉個例子:

在前後端分離的專案中,ajax請求怎樣附帶cookie

在專案的實際開發中,我們總會遇到前後端分離的專案,在這樣的專案中,跨域是第一個要解決的問題,除此之外,儲存使用者資訊也是很重要的,然而,在後臺儲存使用者資訊通常使用的session和cookie結合的方法,而在前端

請求CORS詳解

目錄 跨域請求 一 同源策略 同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏

Spring後端請求設定

前後端專案分離,請求時,後端的兩種配置方式: 1.配置類: package com.helq3.config;

Spring前後端請求設定程式碼例項

前後端專案分離,請求時,後端的兩種配置方式: 1.配置類: package com.helq3.config;

Springboot-Vue請求(詳細)

目錄新建Vue專案codeduck-vue在專案內安裝axios並配置Login.vue 登入頁Home.vue 歡迎頁index.js 路由配置App.vue 根元件掛載路由新建SpringbootWeb專案新建專案codeduck並勾選web元件新建pojo——user新建Result類用

Vue-建立axios例項並實現請求(完整過程-前端)

Vue-建立axios例項並實現請求 .env配置檔案 VUE_APP_BASE_API=/server request.js import axios from \'axios\'

使用cors完成請求處理

跨域的含義 同源策略以及其限制內容 同源策略是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,瀏覽器很容易受到XSS、CSFR等攻擊。所謂同源是指"協議+域名+埠"三者相同,即便兩個不同

Vue請求問題解決方案過程解析

一、這是我們本次要請求的url介面地址http://iwenwiki.com/api/blueberrypai/getBlueBerryJamInfo.php