深度拆解“简单请求”和“复杂请求”的跨域表现

原创 于 2025-08-21 11:02:49 发布 · 529 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#请求跨域

以下从本质区别、触发条件、交互流程、实际示例四个维度,深度拆解“简单请求”和“复杂请求”的跨域表现,帮你彻底理清浏览器的跨域拦截逻辑:

一、核心本质:浏览器如何区分“简单”与“复杂”?

浏览器判定规则的核心是 “是否超出基础请求范围”

  • 简单请求:符合所有浏览器预设的“安全基线”,无需额外校验即可发送。
  • 复杂请求:因方法、头信息、内容类型等超出安全基线,需先“问 permission”(预检请求),再决定是否发主请求。

二、详细判定条件(RFC 标准)

1. 简单请求需同时满足 3 个条件

(1)请求方法:只能是 GETPOSTHEAD 三者之一。
(2)自定义请求头:不能有任何自定义头(如 token: xxxuser-agent: custom 都不行),只能用浏览器默认的头(如 Content-TypeAcceptCookie 等)。
(3)Content-Type 限制:仅允许以下三种之一:

  • application/x-www-form-urlencoded(普通表单提交)
  • multipart/form-data(文件上传表单)
  • text/plain(纯文本)
2. 复杂请求的触发条件

只要不满足“简单请求”的任意一条,就会触发复杂请求:

  • 用了 PUTDELETEPATCH 等“非简单方法”
  • 加了自定义请求头(如 Authorization: Bearer xxx
  • Content-Typeapplication/json(最常见的场景!)
  • 发送 ArrayBufferBlob 等特殊数据类型

三、交互流程对比(附时序图)

1. 简单请求的跨域流程

特点:直接发请求 → 服务器给响应 → 浏览器“事后拦截”

最低0.47元/天 解锁文章
Django 请求生命周期
2201_75786273的博客
08-18 1194
请求到达时记录开始时间# 响应返回前计算耗时# 将耗时添加到响应头之后在的MIDDLEWARE中添加该中间件,所有请求的响应头都会带上字段,记录处理耗时。Django 的请求生命周期是一个 “线性且可扩展” 的流程,从请求到达 Web 服务器到响应返回客户端,每一个阶段都有明确的职责扩展点。掌握这个流程,不仅能帮助你快速定位开发中的问题(如中间件拦截了请求、路由匹配错误),还能让你更合理地使用 Django 的特性(如中间件实现全局功能、类视图提高代码复用)。
简单请求复杂请求
changfangyuansh
05-12 3506
区别:主要在于是否会触发CORS(Cross-Origin Resource Sharing)预检请求产生:浏览器的同源策略(协议、名、端口号) 开发网站时经常会用到资源共享(简称cors,后面使用简称)来解决问题,但是在使用cors的时候,http请求会被划分为两类,简单请求复杂请求,而这两种请求区别主要在于是否会触发cors预检请求。 《CORS需要浏览器服务器同时支持。目前,所有主流浏览器都支持该功能,IE浏览器不能低于IE10。在浏览器端, 整个CORS通信过程,都是浏
ajax简单请求复杂请求
代码小牛的博客
10-31 615
开发网站时经常会用到资源共享(简称cors,后面使用简称)来解决问题,但是在使用cors的时候,http请求会被划分为两类,简单请求复杂请求,而这两种请求区别主要在于是否会触发cors预检请求。 首先我们要明白cors的原理(引自MDN): 资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数...
CORS简单请求预检请求
weixin_49115633的博客
01-11 2434
只要符合以下任何一个条件的请求,都需要进行预检请求请求方式为 GET、POST、HEAD 之外的请求 Method 类型请求头中包含自定义头部字段向服务器发送了 application/json 格式的数据在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。
简单请求复杂请求
小白目的博客
05-21 1916
一、什么是 出于安全的考虑, 浏览器不允许 Ajax 调用当前源之外的资源.。违背了浏览器的同源策略(协议、名、端口号必须一致)三者之一即产生。 同源政策的目的主要是为了保证用户的信息安全,它只是对 js 脚本的一种限制,并不是对浏览器的限制,对于一般的 img、或者script 脚本请求都不会有的限制,这是因为这些操作都不会通过响应结果来进行可能出现安全问题的操作。同源政策主要限制了三个方面: 当前下的 js 脚本不能够访问其他下的 cookie、localStor...
简单请求 Vs 复杂请求
brucehongsen的博客
09-06 1785
1. 简单请求 1.1 简单请求方法 get post head 1.1.2 get head 请求区别 The HTTP HEAD and GET methods are identical, except that for HEAD requests, the server does not return a response body but still specifies the size of the response content using the Content-Length
简单请求复杂请求区别
qq_61233877的博客
05-11 4323
在nodejs的中间件内为什么拿不到请求头的某个字段,这篇文章带你了解为什么
HTTP协议深度拆解:115网盘链接请求背后的10个关键交互步骤
[HTTP协议深度拆解:115网盘链接请求背后的10个关键交互步骤](https://kinsta.com/wp-content/uploads/2021/10/image10.png) # 摘要 本文围绕HTTP协议在115网盘请求场景中的实际应用展开,系统分析了HTTP请求的...
content script与background通信机制深度拆解:掌握插件交互底层逻辑
[content script与background通信机制深度拆解:掌握插件交互底层逻辑](https://waitingphoenix.com/content/images/2017/04/Blank-Flowchart---Page-2.png) # 摘要 本文系统分析了浏览器插件通信机制的核心原理与...
ASOS请求处理系统源码分析
在大型分布式系统中,良好的架构能够提升系统的可维护性、扩展性性能表现。ASOS-请求项目很可能采用了分层架构模式,将整个请求处理流程划分为网络层、路由层、控制器层、服务层数据访问层等多个层次,每一层...
http简单请求 -- 复杂请求
weixin_34292924的博客
05-30 969
转载于:https://www.cnblogs.com/rachelch/p/9112386.html
DRF,简单请求复杂请求
weixin_30776273的博客
12-21 192
就是名,端口 - 为什么会有?   浏览器有同源限制策略 - 绕过浏览器同源策略就可以   - 方式一: jsonp(利用浏览器特性)      在html动态创建script标签      同源策略会阻止ajax请求,但不阻止具有src属性的标签      <script src='xxx'></script>      &l...
OPTION请求报400——CORS请求
飞翔的肥仔
01-17 3959
原文链接 请求 CORS即Cross Origin Resource Sharing(来源资源共享),通俗说就是我们所熟知的请求。众所周知,在以前,可以采用代理、JSONP等方式,而在Modern浏览器面前,这些终将成为过去式,因为有了CORS。 CORS在最初接触的时候只大概了解到,通过服务器端设置Access-Control-Allow-Origin响应头,即可使指定来源像访问同...
简单请求复杂请求
Dreamlandz的博客
11-12 2180
不会触发http预检请求的便是简单请求,想法能够触发http预检请求的便是复杂请求。 Request Method: OPTIONS 这里options叫做预检请求,就是查看是否可以或者允许请求请求满足下述任一条件时,即应首先发送预检请求: 1. 使用了下面任一 HTTP 方法: PUT DELETE CONNECT OPTIONS TRACE PATCH 2. 人为设置了对 CORS 安全的首部字段集合之外的其他首部字段。该集合为: Accept Accept-Language Cont
http简单请求复杂请求问题及解决方案
山水好风光的博客
03-08 2325
问题 在当前页面使用AJAX请求源 方案 CORS,属于源 AJAX 请求的根本解决方法 简单请求:服务器端设置Access-Control-Allow-Origin 复杂请求:服务器端设置Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers、Access-Control-Max-Age等 服务器配置: response["Access-Control-Al
解决方案/同源//简单请求/复杂请求/jsonp
最新发布
pp
07-11 1003
是指在一个的Web页面请求另一个的资源时,由于浏览器的同源策略限制,这种请求可能会被阻止。
【学习笔记】HTTP中的简单请求复杂请求
于离别之朝束起约定之花的博客
08-07 946
复杂请求发出前会先发出一个OPTIONS请求,称为预检请求。预检请求的作用是将实际请求的一些内容发送给服务器,询问服务端是否接受。服务器接收到OPTIONS请求后会在响应头中告诉浏览器服务器当前允许接收的信息。注:当客户端要携带cookie时,origin的值必须为准确的url,不能为*预检请求头中会包含下面这些字段。预检响应头中会包含下面这些字段。...
处理复杂请求问题
m0_70276286的博客
03-23 442
如果你只想对特定路径应用CORS配置,你可以结合全局CORS配置Spring Security的路径配置来实现。在Spring框架中,特别是Spring Security中,处理请求通常是在配置类中通过添加CORS支持来完成的。参数用于设置这个缓存的时间。在配置CORS时,合理设置这个值可以提高性能,减少不必要的预检请求。如果你使用Spring Security,并且想要对特定的安全路径进行CORS配置,你可以在。最后,请确保测试你的CORS配置,以确保它按预期工作,并且没有引入任何安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值