使用cors解决跨域遇到浏览器发出options嗅探

最新推荐文章于 2023-04-21 16:13:33 发布
转载 最新推荐文章于 2023-04-21 16:13:33 发布 · 332 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/tangyuu/p/9566645.html

本地开发服务器通过修改hosts文件设置域名映射到本地,使用蚂蚁金服upload组件时出现options请求。查看发现options请求是浏览器行为,非标准cors场景下浏览器会先发该请求。还存在设置头部部分接口无options请求、部分get请求在浏览器和服务器表现不一致的遗留问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言: 本地开发起的服务器,通过修改hosts文件设置域名映射到本地,接口在测试环境

1. 服务器端设置cors, 配置access-control-allow-origin 头部

 

使用蚂蚁金服的upload组件时发现错误,network中可以看到有一个options请求,而本人实际上并没有使用options的习惯

查看antdesign文档上的upload, 发现发出了两次请求,第一个是options,第二个才是上传的post请求

 

查看相关文档发现, options请求是浏览器行为,

使用cors解决跨域时,如果是非标准cors,  比如使用 DELETE , PUT 等方法, 设置非常规的请求头部(比如使用jwp, 在header中传递token进行身份验证),上传文件等, 浏览器会先发出一次options请求,该请求不会带任何参数(包括设置的头部,cookie等), 等待服务器端返回200, 才会发出正常的请求

 

遗留问题:

  1. 如果设置头部, 应该每次请求都会先发出options请求, 然而有些接口却没有发出

  2. 有些get请求,在浏览器network中看是options,  而实际上服务器接收的get, 能正常操作

 

 

参考: https://my.oschina.net/tridays/blog/758994

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

转载于:https://www.cnblogs.com/tangyuu/p/9566645.html

16、调试 CORS 请求全攻略
m3n5b7v8c9x的博客
08-03 19
本文详细介绍了调试CORS资源共享)请求的多种方法,包括分析和比较HTTP头信息、使用浏览器开发者工具(如Chrome、Firefox等)排查错误、利用网络嗅探工具如Wireshark和Fiddler监控网络流量,从而解决常见的问题。通过这些工具和技术,开发者可以更高效地定位并修复CORS配置中的错误,确保请求顺利进行。
实战解析:深入理解与优化HTTP OPTIONS请求
m0_37643701的博客
01-21 961
MDN(Mozilla开发者网络)对OPTIONS方法的描述是这样的:HTTP的OPTIONS方法用于获取目的资源所支持的通信选项。简单来说,你可以用它来“嗅探”某个URL在服务器上支持哪些HTTP方法。在实际开发中,前端代码通常不会主动发起OPTIONS请求。但如果你仔细查看浏览器的开发者工具,特别是在请求的场景下,你会发现OPTIONS请求经常出现,有时甚至会看到相同的请求发起了两次。这是为什么呢?OPTIONS请求作为CORS预检请求,是浏览器为了安全而设计的一种机制。
OPTIONS 方法在请求CORS)中的应用
热门推荐
明天回火星
05-04 4万+
原文  http://stylechen.com/options-cors.html OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式
ionic post options 嗅探
Yunying的专栏
08-02 574
ionic post options 嗅探
HTTP 之 OPTIONS 请求
qingshuiaishui的专栏
05-10 1868
OPTIONS: 用来询问服务器支持哪些方法。HTTP1.1 规范要求,必须包含 HOST 头部,服务器通过 Allow 头关返回服务器支持的方法, 一般包体为空。常规方法有 GET,POST,HEAD,TRACE,OPTIONS,默认情况下 IIS 不支持 PUT,DELETE。CLISP  实现如下:(defun http-options (url) (let ((host nil)(rel-...
CORSOptions相关
csdn_girl的博客
06-26 793
关于 概念 同(同源)策略:相同协议、名、端口号的url属于同源的,反之属于源。 出于安全原因,浏览器限制从脚本内发起的源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个请求HTTP资源,除非响应报文包含了正确CORS响应头。 所有不同之间的访问都要解决问题;无论简单请求还...
OPTIONS请求Cors,坑爹的配置
u010002517的博客
12-11 59
一个上传文件的请求,在请求之前,浏览器先发了一个OPTIONS请求,结果一直返回403forbidden,搞得都怀疑人生了,看tomcat的access日志,确实是tomcat处理的,但是把断点打到处理请求最前端的位置,依然进不去,后来发现web.xml中有这样的配置 ...
前端资源共享(CORS)的原理与实践
资源共享(CORS)是解决Web安全领同源策略限制的重要机制。本文首先概述了CORS的概念和其背后的理论基础,包括同源策略的定义、目的和影响,以及CORS的工作原理。接着,本文深入分析了CORS与安全性的关系,...
Nginx限制突破:使用正则表达式精确控制访问源
本文系统地探讨了Nginx在处理请求时遇到的问题及其解决方案。文章首先概述了问题和Nginx的基本配置,重点分析了CORS机制和浏览器的支持限制。然后,通过讲解正则表达式的应用,文章展示了如何在Nginx配置中...
Spring Cloud gateway 问题
进阶的球儿
09-06 3002
1、在和axios联调鉴权的时候发现,在增加自定义header的时候会出现问题 2、因为是请求,前端会首先发送一个options嗅探请求,一次真正的请求 所以会出现两个403 3、网关之前设置的是全局filter 刚开始看了 package com.xxx.filter; import com.alibaba.fastjson.JSONObject; import com.x...
認識 CAN 與 CANopen 通訊規約的差異
12-15
認識 CAN 與 CANopen 通訊規約的差異.
前端解决方案之CORS详解
m0_51945510的博客
04-21 8931
前端解决方案之CORS详解has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
【爬虫】关于 HTTP 的 OPTIONS 请求
Ezrealer的博客
06-10 4396
HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法; 简单来说,就是可以用 options 请求嗅探某个请求在对应的服务器中都支持哪种请求方法; 前端一般不会主动发起这个请求,但是通过F12 debug页面,一般可以看到 相同的请求会有两次,其中一次的 Request Method 是 OPTIONS; 因为在的情况下,在浏览器发起"复杂请求"时主动发起的。共享标准规
http请求发生了两次(options请求
dianchou8532的博客
03-26 3159
前言 自后台restful接口流行开来,请求了两次的情况(options请求)越来越普遍。笔者也在实际的项目中遇到过这种情况,做一下整理总结。 文章书写思路: 为什么发生两次请求 http的请求方式,包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT等八种请求方式。其中,get与post只是我们常用的请求方式。 我们能在图一...
html post 发送两次,JS发送Post请求出现两次请求解决办法
weixin_29306875的博客
06-18 2511
为什么 post 请求会出现两次请求请求就会出源现这样的问题。由于CORS(cross origin resource share)规范的存在,浏览器会首先发送知一次options嗅探,同时header带上origin,判断是否道有请求权限,服务器响应access control allow origin的值,供浏览器与origin匹配,如果匹配则正式发送post请求。所有的js在提...
http时的options请求
weixin_34290352的博客
11-27 719
一、简介 出于安全考虑,并不是所有名访问后端服务都可以。其实在正式之前,浏览器会根据需要发起一次预检(也就是option请求),用来让服务端返回允许的方法(如get、post),被访问的Origin(来源或者),还有是否需要Credentials(认证信息)等。那么浏览器在什么情况下能预检呢? 二、两种请求方式 浏览器CORS请求分为两类:简单请求(simple re...
通过options探测服务器信息,OPTIONS 方法在请求CORS)中的应用
weixin_39872624的博客
08-10 2480
OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式。既然比较少见,什么情况下会使用这个方法呢?采用Ajax调用接口的时候,浏览器会自动发起一个 OPT...
HTTP 之 options请求
dong123ohyes的专栏
09-12 7065
一、HTTP一共有八种常见请求方法 get:参数在url上,浏览器长度有限制,不安全 post:参数不可见,长度不受限制 put:上传最新内容到指定位置 delete:删除请求的url所表示的资源 head:不返回相应主体,主要用于客户端查看服务器性能 options:与head类似,是客户端用于查看服务器的性能 。JavaScript的XMLHttpRequest对象进行CORS资源共享时,就是使用OPTIONS方法发送嗅探请求,以判断是否有对指定资源的访问权限 connect:http
CORS原理(为什么会发OPTIONS方法及问题总结)
haonan_z的博客
12-23 1144
CORS的原理 资源共享(CORS)是一种机制,是W3C标准。它允许浏览器源服务器,发出XMLHttpRequest或Fetch请求。并且整个CORS通信过程都是浏览器自动完成的,不需要用户参与。 而使用这种资源共享的前提是,浏览器必须支持这个功能,并且服务器端也必须同意这种""请求。因此实现CORS的关键是服务器需要服务器。通常是有以下几个配置: Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Contr
connection: keep-alive content-encoding: zstd content-length: 4687 content-security-policy: base-uri 'self'; default-src 'self'; img-src 'self' blob: data: https://apachesuperset.gateway.scarf.sh https://static.scarf.sh/ https://avatars.slack-edge.com ows.terrestris.de; worker-src 'self' blob:; connect-src 'self' https://api.mapbox.com https://events.mapbox.com; object-src 'none'; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' 'nonce-CAKlAKbQPNozXegAdePkNhYFkDWLgbi0' content-type: text/html; charset=utf-8 date: Fri, 07 Mar 2025 08:51:29 GMT permissions-policy: browsing-topics=() referrer-policy: strict-origin-when-cross-origin server: gunicorn set-cookie: session=eyJsb2NhbGUiOiJ6aCJ9.Z8qzkQ.ZVpHBwwn-z6WTm1X5QrerxXk2RA; HttpOnly; Path=/; SameSite=Lax vary: Accept-Encoding, Cookie x-content-type-options: nosniff x-frame-options: SAMEORIGIN 分析该响应头数据
最新发布
03-08
阻止浏览器嗅探MIME类型,强制使用`Content-Type`声明的类型。 --- #### **3. 会话与缓存** - **`Set-Cookie`** ```plaintext session=eyJsb2NhbGUiOiJ6aCJ9.Z8qzkQ.ZVpHBwwn-z6WTm1X5QrerxXk2RA; HttpOnly;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值