OPTIONS请求出现的原因

武飞扬头像

dabing

2024-04-13 帮助1人

发生两个请求,其中一个是OPTIONS请求,这通常是因为启用了 CSRF 防护造成的。

原因是:

设置 CORS 跨域访问时,浏览器会先发送一个 OPTIONS 预检请求,询问服务器支持哪些CORS操作。
这是浏览器的一个安全机制,用来检测服务器是否允许该类型的CORS请求。
而 CSRF 防护需要同源验证,也就是检查Referer。但CORS预检请求Referer会为空。
为了支持CORS同时防御CSRF,服务器需要在OPTIONS响应中,加入"Access-Control-Allow-Credentials: true"。
表示允许request中的用户凭证(如cookie)跨域访问。从而既支持CORS,又实现CSRF防护。

所以:

浏览器发现需要跨域请求,会先发送OPTIONS预检请求
服务器响应支持凭证跨域
浏览器第二次发送真实请求加上Referer
服务器检查Referer实现CSRF防护
响应成功完成CORS跨域请求

总之,多出的OPTIONS请求就是浏览器跨域安全机制需要的预检,服务器设定了支持凭证跨域从而兼容了跨域和CSRF双重验证机制。

这篇好文章是转载于：学新通技术网

版权申明：本站部分内容来自互联网，仅供学习及演示用，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，请提供相关证据及您的身份证明，我们将在收到邮件后48小时内删除。
本站站名：学新通技术网
本文地址： /boutique/detail/tanhgbbceg

系列文章

同类精品