1.从前端的角度看options——post请求之前一定会有options请求?信口雌黄!
你是否经常看到这种跨域请求错误?
这是因为服务器不允许跨域请求,这里会深入讲一讲OPTIONS
请求。
只有在满足一定条件的跨域请求中,浏览器才会发送OPTIONS
请求(预检请求)。这些请求被称为“非简单请求”。反之,如果一个跨域请求被认为是“简单请求”,那么浏览器将不会发送OPTIONS
请求。
简单请求需要满足以下条件:
- 只使用以下
HTTP
方法之一:GET
、HEAD
或POST
。 - 只使用以下
HTTP
头部:Accept
、Accept-Language
、Content-Language
、Content-Type
。 Content-Type
的值仅限于:application/x-www-form-urlencoded
、multipart/form-data
或text/plain
。
如果一个跨域请求不满足以上所有条件,那么它被认为是非简单请求。对于非简单请求,浏览器会在实际请求(例如PUT
、DELETE
、PATCH
或具有自定义头部和其他Content-Type
的POST
请求)之前发送OPTIONS
请求(预检请求)。
举个例子吧,口嗨半天是看不懂的,让我们看看 POST
请求在什么情况下不发送OPTIONS
请求
提示:当一个跨域POST
请求满足简单请求条件时,浏览器不会发送OPTIONS
请求(预检请求)。以下是一个满足简单请求条件的POST
请求示例:
// 使用Fetch API发送跨域POST请求
fetch("https://example.com/api/data", {
method: "POST",
headers: {
"Content-Type": "application/x-www-form-urlencoded"
},
body: "key1=value1&key2=value2"
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error("Error:", error));
在这个示例中,我们使用Fetch API
发送了一个跨域POST
请求。请求满足以下简单请求条件:
- 使用
POST
方法。 - 使用的
HTTP
头部仅包括Content-Type
。 Content-Type
的值为"application/x-www-form-urlencoded
",属于允许的三种类型之一(application/x-www-form-urlencoded、multipart/form-data或text/plain
)。
因为这个请求满足了简单请求条件,所以浏览器不会发送OPTIONS
请求(预检请求)。
我们再看看什么情况下POST
请求之前会发送OPTIONS
请求,同样用代码说明,进行对比
提示:在跨域请求中,如果POST
请求不满足简单请求条件,浏览器会在实际POST
请求之前发送OPTIONS
请求(预检请求)。
// 使用Fetch API发送跨域POST请求
fetch("https://example.com/api/data", {
method: "POST",
headers: {
"Content-Type": "application/json",
"X-Custom-Header": "custom-value"
},
body: JSON.stringify({
key1: "value1",
key2: "value2"
})
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error("Error:", error));
在这个示例中,我们使用Fetch API
发送了一个跨域POST
请求。请求不满足简单请求条件,因为:
- 使用了非允许范围内的
Content-Type
值("application/json
" 不属于application/x-www-form-urlencoded
、multipart/form-data
或text/plain
)。 - 使用了一个自定义
HTTP
头部 "X-Custom-Header
",这不在允许的头部列表中。
因为这个请求不满足简单请求条件,所以在实际POST
请求之前,浏览器会发送OPTIONS
请求(预检请求)。
你可以按F12
直接在Console
输入查看Network
,尽管这个网址不存在,但是不影响观察OPTIONS
请求,对比一下我这两个例子。
总结:当进行非简单跨域POST
请求时,浏览器会在实际POST
请求之前发送OPTIONS
预检请求,询问服务器是否允许跨域POST
请求。如果服务器不允许跨域请求,浏览器控制台会显示跨域错误提示。如果服务器允许跨域请求,那么浏览器会继续发送实际的POST
请求。而对于满足简单请求条件的跨域POST
请求,浏览器不会发送OPTIONS
预检请求。
后端可以通过设置Access-Control-Max-Age
来控制OPTIONS
请求的发送频率。OPTIONS
请求没有响应数据(response data
),这是因为OPTIONS
请求的目的是为了获取服务器对于跨域请求的配置信息(如允许的请求方法、允许的请求头部等),而不是为了获取实际的业务数据,OPTIONS
请求不会命中后端某个接口。因此,当服务器返回OPTIONS
响应时,响应中主要包含跨域配置信息,而不会包含实际的业务数据
本地调试一下,前端发送POST
请求,后端在POST
方法里面打断点调试时,也不会阻碍OPTIONS
请求的返回
2.从后端的角度看options——post请求之前一定会有options请求?胡说八道!
在配置跨域时,服务器需要处理OPTIONS
请求,以便在响应头中返回跨域配置信息。这个过程通常是由服务器的跨域中间件(Node.js
—Express
框架的cors
中间件、Python
—Flask
框架的flask_cors
扩展)或过滤器(Java
—SpringBoot
框架的跨域过滤器)自动完成的,而无需开发人员手动处理。
以下是使用Spring Boot
的一个跨域过滤器,供参考
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
@Configuration
public class CorsConfig {
public CorsConfig() {
}
@Bean
public CorsFilter corsFilter() {
// 1. 添加cors配置信息
CorsConfiguration config = new CorsConfiguration();
// Response Headers里面的Access-Control-Allow-Origin: http://localhost:8080
config.addAllowedOrigin("http://localhost:8080");
// 其实不建议使用*,允许所有跨域
config.addAllowedOrigin("*");
// 设置是否发送cookie信息,在前端也可以设置axios.defaults.withCredentials = true;表示发送Cookie,
// 跨域请求要想带上cookie,必须要请求属性withCredentials=true,这是浏览器的同源策略导致的问题:不允许JS访问跨域的Cookie
/**
* withCredentials前后端都要设置,后端是setAllowCredentials来设置
* 如果后端设置为false而前端设置为true,前端带cookie就会报错
* 如果后端为true,前端为false,那么后端拿不到前端的cookie,cookie数组为null
* 前后端都设置withCredentials为true,表示允许前端传递cookie到后端。
* 前后端都为false,前端不会传递cookie到服务端,后端也不接受cookie
*/
// Response Headers里面的Access-Control-Allow-Credentials: true
config.setAllowCredentials(true);
// 设置允许请求的方式,比如get、post、put、delete,*表示全部
// Response Headers里面的Access-Control-Allow-Methods属性
config.addAllowedMethod("*");
// 设置允许的header
// Response Headers里面的Access-Control-Allow-Headers属性,这里是Access-Control-Allow-Headers: content-type, headeruserid, headerusertoken
config.addAllowedHeader("*");
// Response Headers里面的Access-Control-Max-Age:3600
// 表示下回同一个接口post请求,在3600s之内不会发送options请求,不管post请求成功还是失败,3600s之内不会再发送options请求
// 如果不设置这个,那么每次post请求之前必定有options请求
config.setMaxAge(3600L);
// 2. 为url添加映射路径
UrlBasedCorsConfigurationSource corsSource = new UrlBasedCorsConfigurationSource();
// /**表示该config适用于所有路由
corsSource.registerCorsConfiguration("/**", config);
// 3. 返回重新定义好的corsSource
return new CorsFilter(corsSource);
}
}
这里setMaxAge
方法来设置预检请求(OPTIONS
请求)的有效期,当浏览器第一次发送非简单的跨域POST
请求时,它会先发送一个OPTIONS
请求。如果服务器允许跨域,并且设置了Access-Control-Max-Age
头(设置了setMaxAge
方法),那么浏览器会缓存这个预检请求的结果。在Access-Control-Max-Age
头指定的时间范围内,浏览器不会再次发送OPTIONS
请求,而是直接发送实际的POST
请求,不管POST
请求成功还是失败,在设置的时间范围内,同一个接口请求是绝对不会再次发送OPTIONS
请求的。
后端需要注意的是,我这里设置允许请求的方法是config.addAllowedMethod("*")
,*
表示允许所有HTTP
请求方法。如果未设置,则默认只允许“GET
”和“HEAD
”。你可以设置的HTTPMethod
为GET
, HEAD
, POST
, PUT
, PATCH
, DELETE
, OPTIONS
, TRACE
经过我的测试,OPTIONS
无需手动设置,因为单纯只设置OPTIONS
也无效。如果你设置了允许POST
,代码为config.addAllowedMethod(HttpMethod.POST);
那么其实已经默认允许了OPTIONS
,如果你只允许了GET
,尝试发送POST
请求就会报错。
举个例子,这里只允许了GET
请求,当我们尝试发送一个POST
非简单请求,预检请求返回403
,服务器拒绝了OPTIONS
类型的请求,因为你只允许了GET
,未配置允许OPTIONS
请求,那么浏览器将收到一个403 Forbidden
响应,表示服务器拒绝了该OPTIONS
请求,POST
请求的状态显示CORS error
在Spring Boot
中,配置允许某个请求方法(如POST
、PUT
或DELETE
)时,OPTIONS
请求通常会被自动允许。这意味着在大多数情况下,后端开发人员不需要特意考虑OPTIONS
请求。这种自动允许OPTIONS
请求的行为取决于使用的跨域处理库或配置,最好还是显式地允许OPTIONS
请求。
欢迎一键三连~
有问题请留言,大家一起探讨学习
----------------------Talk is cheap, show me the code-----------------------