浏览器中的preflight请求-预检请求

最新推荐文章于 2025-10-19 20:19:49 发布
原创 最新推荐文章于 2025-10-19 20:19:49 发布 · 1.4w 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #html5 #javascript

本文详细解释了CORS预检请求的触发条件、作用机制,以及如何在服务器端进行配置。重点讲解了预检请求的触发场景和必要性,包括自定义请求头引发的预检过程。
什么是preflight请求?

preflight,一个cors预检请求,属于options请求。该请求会在浏览器认为即将要执行的请求可能会对服务器造成不可预知的影响时,由浏览器自动发出。
利用预检请求,浏览器能够知道当前的服务器是否允许执行即将要进行的请求,只有获得了允许,浏览器才会真正执行接下来的请求。
所以,总结有几点:

  • 浏览器自动发出该请求,不需要用户干预
  • 该请求发生在用户发送的请求之前,只有预检请求通过,用户发送的请求才能发送到服务器,否则抛出CORS错误。

prefilght触发条件

preflight预检请求属于cors规范的一部分,是一种服务器验证机制。目前所有浏览器都实现了该规范,但是不免有些浏览器会对规范内容进行扩充。但是必须实现的规范是:只有以下条件满足的情况下才不会发送预检请求,否则会在发送用户请求之前发送预检请求,以免在获得允许之前对服务器产生不可预知的影响。
条件有:

  1. 请求方法限制

只能使用GET、POST方法

  1. 请求头限制

只能包含九种请求头:

  • Accept
  • Accept-language
  • Content-Language
  • Content-Type
  • DPR
  • Downlink
  • Save-Data
  • Viewport-Width
  • Width
  1. Content-type限制

只能包含三种类型:

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded
  1. XMLHttpRequestUpload对象限制

该对象没有注册任何事件监听器

  1. ReadableStream对象限制

请求中不能使用ReadableStream对象

如果以上条件有一条不满足,浏览器则会自动发起预检请求

配置preflight请求

浏览器自动发送的预检请求,一般采用三个字段来表示:

  • Origin:表示当前请求的访问来源(域名)
  • Access-Control-Request-Headers:告知服务器实际请求所携带的自定义首部字段
  • Access-Control-Request-Methods:告知服务器实际请求所使用的 HTTP 方法

服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。

所以服务器同时需要配置preflight响应来回应浏览器,告知浏览器是否接受预检请求,主要涉及到三个字段:

  • Access-Control-Allow-Origin: 表示允许的访问来源。或者可以使用"*" 表示允许所有的访问来源。这个字段一般用于对跨域请求的支持。
  • Access-Control-Allow-Headers:表示允许的自定义请求头。
  • Access-Control-Allow-Methods:表示允许的请求方式。

举一个例子:

客户端自定义了一个请求头uname,内容是admin。但是此时服务器端并没有预检请求的处理(这里使用node作为服务器端)

客户端:
在这里插入图片描述

服务器(由于是不同域,所以实现处理了跨域请求):
在这里插入图片描述

结果:
在这里插入图片描述

可以看到在发送用户请求http://127.0.0.1:8000/server之前,浏览器先发送了一个预检请求,Type=preflight,而触发预检请求的原因是:客户端在请求头中添加了自定义请求头。但是由于服务器端没有预检请求的处理,所以浏览器没有得到预检请求的响应,就不会处理用户本身要发送的请求,因此可以看到/server这个请求出现了CORS ERROR

按照之前所理解的预检请求,我们可以在服务器端进行配置对该请求的响应:

app.use('/server', (req,res,next) => {
    // 设置所有域都可以访问该域的资源
    res.setHeader('Access-Control-Allow-Origin','*');
    // 设置允许的自定义请求头
    res.setHeader('Access-Control-Allow-Headers', 'uname');
    next();
})

app.post('/server',(req,res) => {
    res.send('post');
})

注意:由于preflight请求属于cors规范的一部分,因此当前仅当跨域的情况下可能会触发preflight。也即:只有跨域了,且不满足之前触发条件中一条就会触发预检请求。没有跨域,不会触发预检请求。

什么是 HTTP 请求中的 Preflight 请求
Twinkle_sone的博客
10-05 1779
🎉 这里是 JYeontu,现在是一名前端工程师,有空会刷刷算法题,平时喜欢打羽毛球 🏸 ,平时也喜欢写些东西,既为自己记录 📋,也希望可以对大家有那么一丢丢的帮助,写的不好望多多谅解 🙇,写错的地方望指出,定会认真改进 😊,偶尔也会在自己的公众号『』发一些比较有趣的文章,有兴趣的也可以关注下。』,获取更多有趣内容。
理解浏览器请求中的预检请求 preflight 类型
MFWSCQ的博客
02-11 1194
目的:浏览器在发送某些非简单请求(Non-Simple Request)前,自动发起一个 OPTIONS 方法的预检请求,检查目标服务器是否允许实际请求请求方法非 GET/POST/HEAD(如 PUT、DELETE)。请求头包含非简单头(如 Authorization、Content-Type: application/json)。
HTTP知识】HTTP OPTIONS 预检请求深度解析与优化策略
最新发布
wendao76的专栏
10-19 1058
HTTP OPTIONS预检请求优化指南 本文深入解析了HTTP OPTIONS预检请求在CORS安全机制中的关键作用,通过流程图和对比表格展示了简单请求与非简单请求的核心区别。针对预检请求的性能问题,提供了3大优化策略:1)通过调整请求参数转为简单请求;2)利用Access-Control-Max-Age设置长期缓存;3)服务器端配置优化。特别提出了避免预检的创新方案,包括反向代理、WebSocket替代和JSONP技术。最后给出了带凭证请求和动态Origin处理的实用代码示例,并介绍了性能监控方法,为开
前端面试题整理-浏览器
C_greenbird的博客
08-14 1004
因为Expires参照的是本地客户端的时间,而客户端的时间是可以被修改的,所以会有误差产生的情况,这也是Expires的一个缺点,所以有了后来Http1.1规范的Cache-control。首先执行同步任务,将其放入执行栈中执行,当执行栈中的任务执行完毕后,会去看任务队列中是否有任务需要执行,有的话将其放入执行栈中执行,执行完毕后再去看任务队列中是否还有任务,有的话再放入执行栈,如此循环,称为事件循环机制。(也就是请求资源的地址和目标资源的地址不一致时,浏览器出于安全考虑,会限制两个源的资源交互)。
preflight请求
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
03-06 836
如果跨域,则需要使用cors(Cross-Origin Resource Sharing,跨域资源共享,W3C推荐的一种跨域访问验证机制),一般通过如下的预检(preflight)来实现。首先要了解,OPTION请求没有附带请求数据,响应体也为空。
Spring Security使用中Preflight请求和跨域问题详解
08-28
然而,有时即使配置了CORS过滤器,仍可能出现问题,这是因为浏览器在某些情况下会发送一个Preflight请求,即OPTIONS请求,以检查服务器是否接受实际请求。这种预检请求主要是为了验证非简单请求的安全性,比如那些...
CROS 预检请求 异常解决方法 authorization is not allowed by Access-Control-Allow-Headers in preflight response
Tekin 是深耕技术 20 年的全栈实战派专家,精通 Go/Python/Java 等多语言开发。博客专注技术原理与实战结合,深度解析 Python 高阶编程、Go 语言架构、数据库优化等硬核内容。涵盖并发编程、机器学习、云原生等前沿领域,通过真实案例拆
05-30 885
CROS 预检请求 异常解决方法 has been blocked by CORS policy: Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.
深入浅出HTTP/2预检请求(CORS Preflight Request)
小李同学的博客
02-29 2062
深入浅出HTTP/2预检请求(CORS Preflight Request)
HTTP请求Preflight Request)
qq_44327851的博客
05-03 2308
服务器接收到预请求后,会检查这些头部信息,并根据请求头部中的信息来决定是否允许实际请求HTTP请求Preflight Request)是CORS(跨域资源共享)机制中的一种请求,用于在实际的跨域请求之前进行一次预检请求,以确定是否可以安全地发送实际请求。当服务器接收到预请求后,应该返回一个带有合适的CORS头部信息的响应,以表示服务器是否支持跨域请求,并确定是否允许实际请求。预请求的目的是确保跨域请求的安全性,防止潜在的安全风险。这种机制可以有效地防止跨域请求可能带来的安全风险。
ceph 0.87 ubuntu14.04 部署(准备篇 )
hero9881010love的专栏
01-22 1263
CEPH节点设置  (注意 我配置的机器是 hostname分别是 osd0  ,  osd1  ,  mds , ceph-admin四台机器。其中ceph-admin用来安装mon以及 ceph-deploy) 执行以下的步骤: 1.在每个Ceph节点上创建一个用户。   ssh user@ceph-server sudo useradd -d /home/ceph -
浅谈浏览器中的preflight请求
qq_43248623的博客
01-24 2480
浅谈浏览器中的preflight请求
什么是 HTTP 请求中的 preflight 类型请求
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
10-05 1874
Preflight请求作为 CORS 机制的一部分,主要作用是确保跨域请求的安全性,尤其是在涉及非标准请求时。通过Preflight请求浏览器与服务器能够就请求的合法性达成共识,保护用户的数据安全。在实际应用中,理解Preflight请求的工作原理,并在合适的场景下进行优化,能够大大提升 Web 应用的性能和用户体验。
CORS跨域预检preflight请求错误
q1003675852的博客
03-21 1455
本文记录了CORS跨域预检preflight请求错误及原因。
ajax请求预检请求preflight请求、options请求
Gary的博客
02-23 4187
ajax请求预检请求preflight请求、options请求
CORS、预检请求 (Preflight) 和跨域
m0_51335436的博客
04-20 1211
这篇主要来聊一聊前端常见的跨域问题,以及后端如何处理 CORS 和预检请求 (Preflight)。
CORS 跨域中的 preflight 请求
热门推荐
廿四桥明月夜的博客
08-06 2万+
我们知道借助Access-Control-Allow-Origin响应头字段可以允许跨域 AJAX, 对于非简单请求,CORS 机制跨域会首先进行 preflight(一个 OPTIONS 请求), 该请求成功后才会发送真正的请求。 这一设计旨在确保服务器对 CORS 标准知情,以保护不支持 CORS 的旧服务器。 Wikipedia: https://upload.wikimedia.o...
触发HTTP preflight预检及跨域的处理方法
qq_29517595的博客
03-06 2705
触发HTTP preflight预检及跨域的处理方法
为什么浏览器预检请求中不发送Authorization头?
09-29
<think>浏览器在发送预检请求(OPTIONS)时不携带Authorization头是由CORS(跨域资源共享)规范和安全策略决定的。以下是详细解释: ### 原因分析 1. **预检请求的本质**: - 预检请求浏览器自动发起的OPTIONS请求,用于检查实际请求是否安全 - 它的目的是询问服务器:"是否允许实际请求携带这些自定义头和凭证?" 2. **安全机制**: - 如果预检请求携带了凭证信息(如Authorization头),可能会将这些敏感信息泄漏到未经验证的服务器 - CORS规范要求预检请求必须是"简单请求",不能包含任何认证信息 3. **规范要求**: - 根据[Fetch标准](https://fetch.spec.whatwg.org/#cors-preflight-fetch): > "A CORS preflight request must not include any credentials" - 这意味着预检请求中禁止包含: - `Authorization` 头 - Cookies - TLS客户端证书 4. **工作流程**: ```mermaid sequenceDiagram Browser->>Server: OPTIONS预检请求(无凭证) Server-->>Browser: 返回CORS策略(允许的源/方法/头/凭证) Browser->>Server: 实际请求(携带Authorization头) ``` ### 为什么控制台显示"预配标头"才有认证信息? 1. **请求分阶段**: - 阶段1:OPTIONS预检(无凭证) - 阶段2:实际请求(带凭证) 2. **开发者工具显示**: - 浏览器开发者工具通常将这两个请求分开显示 - 预检请求(OPTIONS)的请求头中不会出现Authorization - 实际请求请求头中才会出现Authorization ### 解决方案建议 即使预检请求不携带Authorization头,也可以通过以下方式保证认证流程: #### 服务器端配置 服务器必须在预检响应中明确允许Authorization头: ```http Access-Control-Allow-Headers: Authorization Access-Control-Allow-Credentials: true ``` #### 客户端代码 确保在fetch请求中设置凭证模式: ```typescript fetch(url, { method: 'GET', headers: { 'Authorization': 'Bearer token123' // 实际请求才会携带 }, credentials: 'include' // 关键:启用凭据传输 }); ``` ### 特殊场景处理 对于需要预检的认证请求,典型流程: 1. 第一次OPTIONS预检(无Authorization) 2. 服务器响应允许Authorization头 3. 浏览器发送实际请求(携带Authorization) 4. 服务器验证并返回数据 ### 异常情况处理 如果遇到预检失败,检查: 1. 服务器是否正确处理OPTIONS方法 2. 响应头是否包含 `Access-Control-Allow-Headers: Authorization` 3. 是否配置 `Access-Control-Allow-Credentials: true` 4. 是否使用通配符`*`(使用凭证时不能使用`*`) §§相关问题§§: 1. 如何为需要认证的API设计免预检请求? 2. CORS规范中哪些头属于"简单请求头"? 3. 服务端如何区分预检请求和实际请求? 4. 使用Service Worker能否绕过CORS预检限制? </think># 为什么浏览器预检请求中不发送Authorization头 浏览器预检请求(OPTIONS请求)中不发送Authorization头是由CORS(跨域资源共享)规范和安全机制决定的。下面是详细解释: ## 核心原因 1. **安全设计**: - 预检请求的核心目的是**安全验证**,而不是实际数据传输 - 发送Authorization头会暴露敏感凭证信息到未经验证的服务器 - 防止恶意网站窃取用户凭证 2. **规范要求**: - 根据W3C的CORS规范,预检请求必须是"匿名请求" - 规范明确指出预检请求不应包含任何用户凭证 - [Fetch Standard
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值