gpt4 book ai didi

http - 为什么 POST 请求不总是预检?

转载 作者:可可西里 更新时间:2023-11-01 16:37:23 26 4
gpt4 key购买 nike

根据 MDN ,如果 Content-Type 是 application/x-www-form-urlencodedmultipart/form-datatext/中的任何一个,则不会对 POST 请求进行预检普通

但是 multipart/form-data 不是和 application/xml 一样不安全吗?例如,无论端点接受何种内容类型,我都希望对 url http://bank.com/money-orders/ 的跨源 POST 请求始终被禁止。

最佳答案

因为:甚至在构思 CORS 之前,就可以发送跨域 POST 请求,例如,网页从一个来源向另一个来源发送用户在页面上填写表单的结果在一个来源并点击提交按钮将其发送到另一个来源。

因此,基本上,CORS 不会改变这种行为——它不会阻止或禁止这种行为,因为在 CORS 出现之前它已经成为可能并被允许。

虽然那时候,没有办法在这样的 POST 请求中发送自定义 header 。但 CORS 使这成为可能——发出一种服务器以前从未见过或必须处理的新型请求。因此,预检的目的基本上是对服务器说,这是一种新型的 POST(或 GET),您必须表明您选择加入并同意(或新方法)。

但是,如果 POST 请求与 Web 上基本上一直允许的简单 POST 请求没有任何不同,那么就没有必要向服务器提示。

关于http - 为什么 POST 请求不总是预检?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30937595/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com