Javascript CORS:为什么我的浏览器没有';发送选项飞行前请求?
从我所读到的内容来看,我理解它的工作原理如下:Javascript CORS:为什么我的浏览器没有';发送选项飞行前请求?,javascript,jquery,cors,Javascript,Jquery,Cors,从我所读到的内容来看,我理解它的工作原理如下: 客户端上的脚本尝试从具有不同来源的服务器上获取资源 浏览器截取此请求并首先向同一URL发出飞行前选项请求 如果对该飞行前请求的响应包含适当的头文件(例如访问控制允许源文件:),则浏览器理解允许发送主请求并执行此操作 响应返回到客户端脚本 我为它设置了一个测试,如下所示: Go中的服务器同时接受-GET和OPTIONS请求(使用CURL进行检查),并在响应中设置Access Control-*headers 简单HTML页面(由另一个端口上的另一台
访问控制允许源文件:
),则浏览器理解允许发送主请求并执行此操作- Go中的服务器同时接受-GET和OPTIONS请求(使用CURL进行检查),并在响应中设置
headersAccess Control-*
- 简单HTML页面(由另一个端口上的另一台服务器提供),其中包含以下脚本(
代表jQuery):$
Accept:*/*
Accept-Encoding:gzip, deflate, sdch
Accept-Language:en-US,en;q=0.8,ru;q=0.6
Connection:keep-alive
Host:local.adform.com
Origin:http://localhost:7500
Referer:http://localhost:7500/test-page.html
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
及相应的回应:
Access-Control-Allow-Headers:Accept, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization
Access-Control-Allow-Methods:POST, GET, OPTIONS, PUT, DELETE
Access-Control-Allow-Origin:*
Content-Length:2
Content-Type:text/plain; charset=utf-8
Date:Wed, 03 Aug 2016 10:53:19 GMT
关于我的浏览器为什么不发送飞行前请求有什么想法吗 正如评论员所指出的,使用GET浏览器并不总是发送飞行前选项请求。如果确实需要飞行前准备,让浏览器发送的一种方法是设置自定义标题(例如“X-PINGOVER:pingpong”或其他内容)。注意,服务器还应该通过将该请求头添加到“Access Control allow Headers”响应头来允许该请求头
我的基本目标是通过域
a.com
将cookies传递给a.com
的服务器,但要从另一个站点b.com
的页面传递(这方面的常见用例是在第三方网站上跟踪您的用户)。事实证明,在请求的同时发送cookie需要做更多的工作
在客户端(即JavaScript),需要启用跨域请求并允许传递凭据。例如,以下jQuery请求对我有效:
$.ajax({
type: "GET",
url: "http://example.com",
xhrFields: {
withCredentials: true // allow passing cookies
},
crossDomain: true, // force corss-domain request
success: function (data) { ... },
error: function (request, error) { ... }
});
在服务器端,需要设置2个响应头:
访问控制允许凭据:true
访问控制允许原点:
其中
是执行呼叫的网站的协议+主机+端口。请注意,通用的*
可能在许多浏览器中都不起作用,因此服务器解析请求的引用头并使用特定的允许来源进行响应是有意义的 飞行前准备并不总是完成的,不太可能(如果有的话?)使用GET-see来了解何时需要飞行前准备。有关浏览器何时发出飞行前请求的详细信息,请参阅。@JaromandaX:谢谢您的评论。如果不总是需要飞行前请求,那么克服“同源”政策的(常规)方法是什么?场景是:我们创建了一个脚本,该脚本将被整合到第三方网站中,并向我们发送cookie?据我所知,如果没有飞行前请求,浏览器将不会向我们的服务器发送cookie,对吗?请参阅我链接的文档中的下一节-我建议阅读整个页面-这是informativeSee文档以获取更多信息。需要注意的是,您的服务器可能不希望“X-PINGOVER”作为标题,并且可能返回错误。要解决此问题,请在服务器代码中设置Access Control Allow Headers
的值,包括X-PINGOVER
$.ajax({
type: "GET",
url: "http://example.com",
xhrFields: {
withCredentials: true // allow passing cookies
},
crossDomain: true, // force corss-domain request
success: function (data) { ... },
error: function (request, error) { ... }
});