CORS预请求

CORS是一个W3C标准它允许浏览器向跨源服务器发出XMLHttpRequest请求从而克服了AJAX只能同源使用的限制。

两种请求

浏览器将CORS请求分成两类简单请求simple request和非简单请求not-so-simple request。

简单请求

1) 请求方法是以下三种方法之一

• HEAD

• GET

• POST

2HTTP的头信息不超出以下几种字段

• Accept

• Accept-Language

• Content-Language

• Last-Event-ID

• Content-Type只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

非简单请求

不是简单请求的就是 非简单请求

预检请求

非简单请求的CORS请求会在正式通信之前增加一次HTTP查询请求称为"预检"请求preflight。浏览器先询问服务器当前网页所在的域名是否在服务器的许可名单之中以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复浏览器才会发出正式的XMLHttpRequest请求否则就报错。

发送请求

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代码中HTTP请求的方法是PUT并且发送一个自定义头信息X-Custom-Header。

浏览器发现这是一个非简单请求就自动发出一个"预检"请求要求服务器确认可以这样请求。下面是这个"预检"请求的HTTP头信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

服务器收到"预检"请求以后检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后确认允许跨源请求就可以做出回应。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回应中关键的是Access-Control-Allow-Origin字段表示http://api.bob.com可以请求数据。该字段也可以设为星号表示同意任意跨源请求。

Access-Control-Allow-Origin: *

参考文档

阮一峰cors