碼上快樂

相關內容    簡體    繁體

簡單請求和非簡單請求

本文轉載自   查看原文   2017-09-23 22:59   1144 

瀏覽器將CORS請求分成兩類:簡單請求 simple request 和非簡單請求not-so-simple request

 

只要同時滿足以下兩大條件,就屬於簡單請求。

1) 請求方法是以下三種方法之一: HEAD GET POST 2HTTP的頭信息不超出以下幾種字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限於三個值application/x-www-form-urlencodedmultipart/form-datatext/plain

那么對於非簡單請求,瀏覽器會首先發送一個options嗅探。

下面是一段瀏覽器的JavaScript腳本。

var url = 'http://api.alice.com/cors'; var xhr = new XMLHttpRequest(); xhr.open('PUT', url, true); xhr.setRequestHeader('X-Custom-Header', 'value'); xhr.send();

上面代碼中,HTTP請求的方法是PUT,並且發送一個自定義頭信息X-Custom-Header

瀏覽器發現,這是一個非簡單請求,就自動發出一個”預檢”請求,要求服務器確認可以這樣請求。下面是這個”預檢”請求的HTTP頭信息。

OPTIONS /cors HTTP/1.1 Origin: http://api.bob.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Custom-Header Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...

“預檢”請求用的請求方法是OPTIONS,表示這個請求是用來詢問的。頭信息里面,關鍵字段是Origin,表示請求來自哪個源。

除了Origin字段,”預檢”請求的頭信息包括兩個特殊字段。

(1)Access-Control-Request-Method

該字段是必須的,用來列出瀏覽器的CORS請求會用到哪些HTTP方法,上例是PUT

(2)Access-Control-Request-Headers

該字段是一個逗號分隔的字符串,指定瀏覽器CORS請求會額外發送的頭信息字段,上例是X-Custom-Header

 
        
預檢請求的回應
 
        
 
        
服務器收到”預檢”請求以后,檢查了OriginAccess-Control-Request-MethodAccess-Control-Request-Headers字段以后,確認允許跨源請求,就可以做出回應。
 
        
 
        
HTTP/1.1 200 OK Date: Mon, 01 Dec 2008 01:15:39 GMT Server: Apache/2.0.61 (Unix) Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Content-Length: 0 Keep-Alive: timeout=2, max=100 Connection: Keep-Alive Content-Type: text/plain
 
        
 
        
上面的HTTP回應中,關鍵的是Access-Control-Allow-Origin字段,表示http://api.bob.com可以請求數據。該字段也可以設為星號,表示同意任意跨源請求。
 
         
         
        
 
        
Access-Control-Allow-Origin: *
 
        
 
        
如果瀏覽器否定了”預檢”請求,會返回一個正常的HTTP回應,但是沒有任何CORS相關的頭信息字段。這時,瀏覽器就會認定,服務器不同意預檢請求,因此觸發一個錯誤,被XMLHttpRequest對象的onerror回調函數捕獲。控制台會打印出如下的報錯信息。
 
        
 
        
XMLHttpRequest cannot load http://api.alice.com. Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
 
        
瀏覽器的正常請求和回應
 
        
一旦服務器通過了”預檢”請求,以后每次瀏覽器正常的CORS請求,就都跟簡單請求一樣,會有一個Origin頭信息字段。服務器的回應,也都會有一個Access-Control-Allow-Origin頭信息字段。
 
         
         
        
下面是”預檢”請求之后,瀏覽器的正常CORS請求。
 
        
PUT /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com X-Custom-Header: value Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
 
        
上面頭信息的Origin字段是瀏覽器自動添加的。
 
        
下面是服務器正常的回應。
 
        
Access-Control-Allow-Origin: http://api.bob.com Content-Type: text/html; charset=utf-8
 
        
 
 
        
轉載 http://www.ruanyifeng.com/blog/2016/04/cors.html
 
        
 
 
       
 
        
       
 
        
 
 
       
 
        
       
 
       
 
      
 
      
 
      
 
     
 
     
 
      
 
      
 
        
       
免責聲明!
 
       
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。
 
      
 
      

      
 
     
 
    
 
     
    
 
     
 
      猜您在找 
        什么是簡單請求和復雜請求  
        簡單請求 vs 非簡單請求  
        CORS跨域請求之簡單請求與非簡單請求  
        ajax跨域簡單請求和復雜請求  
        Access control allow origin 簡單請求和復雜請求  
        DRF跨域,簡單請求和復雜請求  
        HTTP--簡單請求和復雜請求的區別  
        Jmeter(三)-簡單的HTTP請求(非錄制)  
        簡單介紹HTTP的請求(get請求和post請求)以及對應的響應的內容  
        簡單請求與復雜請求  
      
 
      
 
     
 
    
 
   
 
  
 
  

    
  
 
  
 
   
 
   
 
   
 
    粵ICP備18138465號  
    © 2018-2025 CODEPRJ.COM