options请求(跨域预检)
概述
options 请求就是预检请求,可用于检测服务器允许的 http 方法。当发起跨域请求时,由于安全原因,触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求,即 CORS 预检请求,服务器若接受该跨域请求,浏览器才继续发起正式请求。
一、什么是 options 请求
HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为"*")使用该方法。(简而言之,就是可以用 options 请求去嗅探某个请求在对应的服务器中都支持哪种请求方法)。
原因
这是因为在跨域的情况下,在浏览器发起"复杂请求"时主动发起的。跨域共享标准规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。
二、简单请求和复杂请求
某些请求不会触发CORS预检请求,这样的请求一般称为 “简单请求” ,而会触发预检的请求则是 “复杂请求” 。
简单请求
请求方式为
GET、HEAD、POST时的请求;认为设置规范集合之内的首部字段,如
Accept/Accept-Language/Content-Language/Content-Type/DPR/Downlink/Save-Data/Viewport-Width/Width;Content-Type 的值仅限于下列三者之一,即
application/x-www-form-urlencoded、multipart/form-data、text/plain;请求中的任意
XMLHttpRequestUpload对象均没有注册任何事件监听器;请求中没有使用
ReadableStream对象。
复杂请求
PUT/DELETE/CONNECT/OPTIONS/TRACE/PATCH;
人为设置了以下集合之外首部字段,即简单请求外的字段;
Content-Type 的值不属于下列之一,即application/x-www-form-urlencoded、multipart/form-data、text/plain。
关键字段 作用 Access-Control-Request-Method 告知服务器,实际请求将使用POST方法 Access-Control-Request-Headers 告知服务器,实际请求将携带的自定义请求首部字段 关键字段 作用 Access-Control-Allow-Methods 表明服务器允许客户端使用什么方法发起请求 Access-Control-Allow-Origin 允许跨域请求的域名,如果要允许所有域名则设置为* Access-Control-Allow-Headers 将实际请求所携带的首部字段告诉服务器 Access-Control-Max-Age 指定了预检请求的结果能够被缓存多久
当发起跨域请求时,简单请求只发起一次请求;复杂请求则需要2次,先发起options请求,确认目标资源是否支持跨域,浏览器会根据服务端响应的header自动处理剩余的请求,如果响应支持跨域,则继续发出正常请求;不支持的话,会在控制台显示错误。
所以,当触发预检时,跨域请求便会发送2次请求,增加请求次数,同时,也延迟了请求真正发起的时间,会严重地影响性能。
