在XMLHttpRequest中设置授权标头会更改HTTP动词

Question

在XMLHttpRequest中设置授权标头会更改HTTP动词

11

今天我发现XMLHttpRequest的一种奇怪行为。当我调用GET服务时，发现如果我不设置Authorization头，那么来自firefox的请求是相同的。但是如果我添加"Authorization"头，则firefox首先发送一个带有"OPTIONS"的请求，然后再发送一个"GET"请求。

我知道动词"OPTIONS"必须在服务器端处理，但我只是想知道为什么XMLHttpRequest会表现出这样的行为。尽管它是跨域请求，但为什么浏览器要先发送"OPTIONS"请求？为什么添加"Authorization"头会改变行为。

以下是我的Javascript代码和Fidler检查报告。

    var  xmlhttp = new XMLHttpRequest();
    var url = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
    xmlhttp.open('GET',url,true);
    xmlhttp.setRequestHeader("Authorization", "xxxxxxxxxxxxxxxxxxx");
    xmlhttp.send(null);
    xmlhttp.onreadystatechange = function() {
            alert("OnReadystatechange + " + xmlhttp.readyState + " " + xmlhttp.status);
           if (xmlhttp.readyState == 4) {
              if ( xmlhttp.status == 200) {

                   }
                   else {

                   }
             }
             else
                   alert("Error ->" + xmlhttp.responseText);
          }

并且小提琴手通过授权头做出响应

enter image description here

但是如果我不添加授权头，浏览器会直接发送GET请求而不是OPTIONS请求。

enter image description here

- gmtek

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- levi · Accepted Answer

HTTP的OPTIONS请求用于在实际发送GET请求之前进行"预检"以跨域。

与简单请求不同，“预检”请求首先通过OPTIONS方法向另一个域上的资源发送HTTP请求，以确定实际请求是否安全发送。由于跨站点请求可能对用户数据产生影响，因此会像这样进行预检。特别是，如果请求满足以下条件，则会进行预检： - 它使用除GET、HEAD或POST之外的方法。此外，如果使用POST发送请求数据，并且Content-Type不是application/x-www-form-urlencoded、multipart/form-data或text/plain，例如，如果POST请求使用application/xml或text/xml向服务器发送XML有效负载，则将进行预检。 - 它设置任何非简单标头。如果标题字段名称与Accept、Accept-Language或Content-Language的ASCII大小写不敏感匹配，或者如果它与Content-Type的ASCII大小写不敏感匹配，并且标题字段值媒体类型（不包括参数）与application/x-www-form-urlencoded、multipart/form-data或text/plain的ASCII大小写不敏感匹配，则称该标题为简单标题。

因此，在您的情况下，设置授权标头会导致请求被预检，因此出现OPTIONS请求。

更多信息在此处

关于带有预检的跨源请求的规范