为啥这个简单的 CORS 请求会进行飞行前选项检查

Posted

技术标签:

【中文标题】为啥这个简单的 CORS 请求会进行飞行前选项检查【英文标题】:Why is this simple CORS request doing a pre-flight options check为什么这个简单的 CORS 请求会进行飞行前选项检查 【发布时间】:2014-01-21 16:20:54 【问题描述】:

我正在向跨域资源发出一个简单的 CORS 请求。我假设它是一个带有参数的 POST 请求,它会被归类为简单的 CORS 请求,因此不需要飞行前调用。但似乎并非如此。

另外,不幸的是,因为我使用的是 .NET Web API,任何简单的数据类型都必须在 Post 请求中的查询字符串中传递。

使用 Angular $http 发布帖子。

选项:

Request URL:http://api.local.foundation.com/account/LoginAutomatically?key=null
Request Method:OPTIONS
Status Code:200 OK
Request Headersview source
Accept:*/*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Access-Control-Request-Headers:accept, content-type
Access-Control-Request-Method:POST
Cache-Control:no-cache
Connection:keep-alive
Host:api.local.foundation.com
Origin:http://www.local.foundation.com
Pragma:no-cache
Referer:http://www.local.foundation.com/
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Query String Parametersview sourceview URL encoded
key:null

发布:

Request URL:http://api.local.foundation.com/account/LoginAutomatically?key=null
Request Method:POST
Status Code:200 OK
Request Headersview source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Cache-Control:no-cache
Connection:keep-alive
Content-Length:0
Content-Type:application/json;charset=utf-8
Host:api.local.foundation.com
Origin:http://www.local.foundation.com
Pragma:no-cache
Referer:http://www.local.foundation.com/
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Query String Parametersview sourceview URL encoded
key:null

【问题讨论】:

所有 CORS 都需要预检 OPTIONS 请求。 Access-Control-* 标头是客户端在继续之前查找的内容。请求就是请求,无论多么“简单”。 @danronmoon OPTIONS 并非所有 CORS 都需要。它仅在“非简单”CORS 请求之前发送。 CORS 规范定义了一个简单的 CORS 请求。 【参考方案1】:

由于您的请求的 Content-Type,您的 CORS 请求已被预检。 “application/json”使您的请求成为“非简单”CORS 请求,因此它是预检的。如果您的请求的 Content-Type 是“text/plain”,则在这种情况下不会进行预检。

【讨论】:

哦,谢谢!那么任何想要 json 的请求都不简单?获取文本/计划并假设它是 json 是否安全?我想尽可能避免飞行前的请求。 我没有发现将 Content-Type 设置为“text/plain”的问题。事实上,如果你想在旧浏览器(例如 IE8 和 IE9)中支持跨域请求,你将根本无法设置 Content-Type,因为这些浏览器中跨域传输机制的限制( XDomainRequest)。请记住,使用“text/plain”作为您的 Content-Type,您的服务器框架可能不会为您解析响应中的 JSON。 另一种选择是发送您的数据“application/x-www-form-urlencoded”或多部分编码。这些 Content-Types 也不会触发预检,您的服务器框架应该能够自动解析请求正文。

以上是关于为啥这个简单的 CORS 请求会进行飞行前选项检查的主要内容,如果未能解决你的问题,请参考以下文章

来自基于 OWIN 的 WebAPI 的飞行前选项 CORS 令牌请求出现 400 错误

AWS API Gateway CORS 飞行前检查失败

(CORS) 浏览器如何知道何时进行飞行前请求

如何在浏览器的控制台中查看 CORS 飞行前 OPTIONS 请求?

Apigee 飞行前选项请求

为啥我在 Express 上设置 CORS 时出现飞行前错误?