javascript - CORS:为什么我的浏览器不发送 OPTIONS 预检请求？-6ren

javascript - CORS:为什么我的浏览器不发送 OPTIONS 预检请求？

转载作者：行者123 更新时间：2023-12-03 21:40:52

25

4

根据我读到的内容CORS ，我理解它应该按如下方式工作:

客户端脚本尝试从不同来源的服务器获取资源。
浏览器拦截此请求，并首先向同一网址发出预检选项请求。
如果对此预检请求的响应包含适当的 header (例如 Access-Control-Allow-Origin: *)，浏览器就会认为这是允许的发送主要请求并执行它。
响应返回到客户端脚本。

我已经为它设置了一个测试，如下所示:

Go 中的服务器接受 GET 和 OPTIONS 请求(使用 CURL 检查)，并在响应中设置 Access-Control-* header

简单的 HTML 页面(由另一个端口上的另一个服务器提供服务)，其中包含以下脚本($ 代表 jQuery):

$.ajax({
  type: "GET",
  crossDomain: true,
  url: "http://local.site.com/endpoint,
  success: function (data) {
    alert(data);
  },
  error: function (request, error) {
    alert(error);
  }
});

但是，当我调用此方法时，我在 Chrome 49 和 Firefox 33 的“网络”选项卡中只看到一个 GET，而没有预检选项请求。

以下是我从 Chrome 发出的 GET 请求的详细信息:

Accept:*/*
Accept-Encoding:gzip, deflate, sdch
Accept-Language:en-US,en;q=0.8,ru;q=0.6
Connection:keep-alive
Host:local.adform.com
Origin:http://localhost:7500
Referer:http://localhost:7500/test-page.html
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36

以及相应的响应:

Access-Control-Allow-Headers:Accept, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization
Access-Control-Allow-Methods:POST, GET, OPTIONS, PUT, DELETE
Access-Control-Allow-Origin:*
Content-Length:2
Content-Type:text/plain; charset=utf-8
Date:Wed, 03 Aug 2016 10:53:19 GMT

对于为什么我的浏览器不发送预检请求有什么想法吗？

最佳答案

正如评论者所指出的，使用 GET 浏览器并不总是发送预检 OPTIONS 请求。如果确实需要预检，让浏览器发送预检的一种方法是设置自定义 header (例如“X-PINGOVER:pingpong”或其他)。请注意，服务器还应该通过将其添加到“Access-Control-Allow-Headers”响应 header 来允许此请求 header 。

<小时/>

我的根本目标是通过域 a.com 传递 cookie到 a.com 的服务器，但是来自另一个站点的页面 b.com (常见的用例是在第三方网站上跟踪您的用户)。事实证明，在请求的同时发送 cookie 需要做更多的工作。

在客户端(即在 JavaScript 中)需要启用跨域请求并允许传递凭据。例如。以下 jQuery 请求对我有用:

$.ajax({
  type: "GET",
  url: "http://example.com",
  xhrFields: {
    withCredentials: true           // allow passing cookies
  },
  crossDomain: true,                // force corss-domain request                
  success: function (data) { ... },
  error: function (request, error) { ... }
});

在服务器端需要设置2个响应 header :

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: <requester origin>

哪里<requester origin>是执行调用的网站的协议(protocol)+主机+端口。请注意，通用 *可能在许多浏览器中不起作用，因此服务器解析 Referer 是有意义的请求 header 并使用特定允许的来源进行响应。

关于javascript - CORS:为什么我的浏览器不发送 OPTIONS 预检请求？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/38742379/

25

4

0

文章推荐： javascript - Heatmap.js 未渲染

文章推荐： upload - 出于安全原因，escapeshellarg() 已被禁用

文章推荐： RCassandra 没有连接到 Cassandra 数据库

文章推荐： jquery - 什么是最好的JQuery WYSIWYM Textile编辑器？

javascript - 400 响应 CORS 预检
我在 swagger.mydomain.com 上运行了 swagger (docker: swaggerapi/swagger-ui)，并为在 a.mydomain.com 和 b.mydomain
jquery - AJAX - 预检 400 错误
在我的应用程序中，进行以下两步调用时，我在第二个 AJAX 调用中收到预检错误: $.ajax({ type:'POST', url:'https://podio.com/oauth/
kubernetes - 预检(选项)返回 403，CORS
我们在 Istio 中使用 Kubernetes 并配置了一个虚拟服务: http: - match: - uri: prefix: /api rewrite:
javascript - 避免 Firebase 可调用函数的 CORS 预检
我有一个 Firebase Callable Cloud Function我在浏览器的 javascript 应用程序中调用它。因为请求主机是 ...cloudfunctions.net 而不是我的
javascript - Webkit 浏览器不允许我设置 CORS 预检 header
这个问题在这里已经有了答案: XMLHttpRequest cannot load XXX No 'Access-Control-Allow-Origin' header (11 个答案) 关闭 3
angularjs - "Same Domain"上的 Angular 选项 http 预检？
我目前对如何“选择”或选择在请求之前执行 Angular 的(jquery)预检 OPTIONS 调用感到困惑。我有一个正常的 RESTful api 调用 (api.domain.co) 我已在主
c# - RESTful WebService CORS 预检 channel 未成功
我用 C# 创建了一个 WebService。所有 GET 方法都可以正常工作。现在我需要提供一些 POST 方法。通过 C# 调用它时，它可以正常工作。然后我尝试用 JavaScript 编写一个
javascript - HTTP 预检 (OPTIONS) 请求仅在 IE 中失败
我正在尝试向我的 REST API 发出 POST 请求。这是代码片段(使用 AngularJS): $http({ method: 'POST',
ruby-on-rails - CORS 预检 OPTIONS 请求是否应该返回 200 OK？
我正在使用 rack-cors 中间件从站点向我的 Rails 应用程序发出跨域请求(尽管我不认为这个问题特定于 rack-cors)。当我用 Firebug 检查控制台输出时，我注意到只有一个请求发
ruby-on-rails - CORS 预检 OPTIONS 请求是否应该返回 200 OK？
我正在使用 rack-cors 中间件从站点向我的 Rails 应用程序发出跨域请求(尽管我不认为这个问题特定于 rack-cors)。当我用 Firebug 检查控制台输出时，我注意到只有一个请求发
linux - DC/OS ssh 连接在端口 22 上被拒绝 - 预检
您好，我正在尝试在 Debian 8 Jessie 中设置 DC/OS，我使用 ssh key 建立了 ssh 连接，我能够在没有密码的情况下登录到所有主机和代理(他们正在运行 CentOS 7)。奇
angularjs - 避免在 AngularJS 中使用 $resource 发送选项(预检)的最佳方法是什么
我正在制作一个简单的网络应用程序，它与我无法控制的服务器进行通信。起初我配置了一个自定义的 $resource GET 请求并且工作正常。现在我需要做一个 POST 请求来从同一台服务器请求一些信息
typescript - CORS 预检 channel 在 Spring Security 中未成功
我正在构建一个带有 Spring Boot 后端的 Angular 2 应用程序。几天来，我一直在尝试解决 CORS 预检的问题。根据这个topic ，它应该像这样与 CORS 过滤器一起工作: @C
Spring Boot CORS 过滤器 - CORS 预检 channel 未成功
我需要将 CORS 过滤器添加到我的 Spring Boot Web 应用程序中。我添加了如下文档中所述的 CORS 映射 http://docs.spring.io/spring/docs/cur
python - 如何在 Azure Functions API (Python) 中处理 CORS 预检？
我正在尝试对我部署的用于检索 JSON 数据的 Azure 函数进行 POST。我收到 CORS 错误。有权从来源“http://localhost:3000”在“{API URL}”获取数据' 已
javascript - CORS 预检 channel 未成功...虽然其他请求正常工作，但一个请求出现此 cors 错误
我有一个 Angular 应用程序和 Node 后端，所有请求都正常工作，但是当我尝试使用 get 请求并且在其中重定向请求时，会发生“CORS 预检 channel 未成功”此错误。 .当我在 po
jquery - 自定义 header 的 ajax GET 不起作用 [CORS，预检]
我正在尝试获取名为 X-Total-Pages 的自定义 header 当我做GET时 Ajax 调用。调用从客户端发送到 API。API 允许使用以下 header : Access-Control
macos - 不能用 openssl 满足 Plone 的 Unified Installer 预检
我正在尝试在 OS X 10.11.3 上运行 Plone 统一安装程序(适用于 4.3.9)不使用 --without-ssl 选项，并且我收到以下错误: Unable to find libss
c# - 在 Asp.net Web API 中处理 CORS 预检
我的架构中有三个应用程序。它们在同一台服务器上，但具有不同的端口号。 A - Token Application (port 4444) - Asp.net WebApi B - API Appli
php - CORS 预检 channel 未成功。仅在 Firefox 中。 Chrome 工作正常
所以我有一个不寻常的问题，我不确定如何进行调试。我有一个 angular 4 应用程序，它在服务器端使用 cakephp。在我的应用程序中，我可以访问许多不同的屏幕，除了一个并且它只是 Firefo

首页

博学

6Ren·AI

商城

javascript - CORS:为什么我的浏览器不发送 OPTIONS 预检请求？