【问题标题】:Why is this simple CORS request doing a pre-flight options check为什么这个简单的 CORS 请求会进行飞行前选项检查
【发布时间】:2014-01-21 16:20:54
【问题描述】:

我正在向跨域资源发出一个简单的 CORS 请求。我假设它是一个带有参数的 POST 请求,它会被归类为简单的 CORS 请求,因此不需要飞行前调用。但似乎并非如此。

另外,不幸的是,因为我使用的是 .NET Web API,任何简单的数据类型都必须在 Post 请求中的查询字符串中传递。

使用 Angular $http 发布帖子。

选项:

Request URL:http://api.local.foundation.com/account/LoginAutomatically?key=null
Request Method:OPTIONS
Status Code:200 OK
Request Headersview source
Accept:*/*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Access-Control-Request-Headers:accept, content-type
Access-Control-Request-Method:POST
Cache-Control:no-cache
Connection:keep-alive
Host:api.local.foundation.com
Origin:http://www.local.foundation.com
Pragma:no-cache
Referer:http://www.local.foundation.com/
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Query String Parametersview sourceview URL encoded
key:null

发布:

Request URL:http://api.local.foundation.com/account/LoginAutomatically?key=null
Request Method:POST
Status Code:200 OK
Request Headersview source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Cache-Control:no-cache
Connection:keep-alive
Content-Length:0
Content-Type:application/json;charset=utf-8
Host:api.local.foundation.com
Origin:http://www.local.foundation.com
Pragma:no-cache
Referer:http://www.local.foundation.com/
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Query String Parametersview sourceview URL encoded
key:null

【问题讨论】:

  • 所有 CORS 都需要预检 OPTIONS 请求。 Access-Control-* 标头是客户端在继续之前查找的内容。请求就是请求,无论多么“简单”。
  • @danronmoon OPTIONS 并非所有 CORS 都需要。它仅在“非简单”CORS 请求之前发送。 CORS 规范定义了一个简单的 CORS 请求。

标签: javascript angularjs asp.net-web-api cors


【解决方案1】:

由于您的请求的 Content-Type,您的 CORS 请求已被预检。 “application/json”使您的请求成为“非简单”CORS 请求,因此它是预检的。如果您的请求的 Content-Type 是“text/plain”,则在这种情况下不会进行预检。

【讨论】:

  • 哦,谢谢!那么任何想要 json 的请求都不简单?获取文本/计划并假设它是 json 是否安全?我想尽可能避免飞行前的请求。
  • 我没有发现将 Content-Type 设置为“text/plain”的问题。事实上,如果你想在旧浏览器(例如 IE8 和 IE9)中支持跨域请求,你将根本无法设置 Content-Type,因为这些浏览器中跨域传输机制的限制( XDomainRequest)。请记住,使用“text/plain”作为您的 Content-Type,您的服务器框架可能不会为您解析响应中的 JSON。
  • 另一种选择是发送您的数据“application/x-www-form-urlencoded”或多部分编码。这些 Content-Types 也不会触发预检,您的服务器框架应该能够自动解析请求正文。
猜你喜欢
  • 2019-05-23
  • 2019-06-16
  • 2016-06-28
  • 2014-02-07
  • 2017-01-22
  • 2015-09-03
  • 2016-09-20
  • 1970-01-01
  • 2017-10-19
相关资源
最近更新 更多