如何响应HTTP OPTIONS请求？

什么是HTTP OPTIONS请求？

这是客户端向服务器询问允许使用的HTTP方法，例如GET，POST等的一种请求。

请求

当查询特定资源的选项时，请求可能会像这样：

OPTIONS /index.html HTTP/1.1

或者在总体上询问服务器时使用以下格式：

OPTIONS * HTTP/1.1

响应

响应将包含一个带有允许的方法的Allow头:

Allow: OPTIONS, GET, HEAD, POST

为什么服务器会收到HTTP OPTIONS请求？

• 一些REST API需要它（但如果您正在定义API，您应该知道这一点）
• 浏览器将其作为“预检”请求发送到服务器，以查看服务器是否理解CORS
• 攻击者发送它以获取有关API的更多信息

如何响应HTTP OPTIONS请求？

• 您可以使用Allowed头响应，甚至在正文中记录您的API。
• 您可以使用其他CORS定义的Access-Control-Request-*头响应。
• 您可以使用405 Method Not Allowed或501 Not Implemented响应。

如何停止收到HTTP OPTIONS请求？

• 如果它来自浏览器，则更新您的API，使其不执行任何“危险”操作（例如PUT或DELETE，或使用application/json的POST）。只执行简单请求。

另请参阅

• RFC 2616第9节：方法定义
• MDN Web文档：OPTIONS
• MDN Web文档：跨域资源共享（CORS）
• CORS - 引入预检请求的动机是什么？
• 如何利用HTTP方法

RFC 2616定义了"Allow"（http://greenbytes.de/tech/webdav/rfc2616.html#rfc.section.14.7）。"Public"不再使用。 "Access-Control-Allow-Methods"在CORS规范中定义（请参见http://www.w3.org/TR/cors/）。

作为对标题“如何响应HTTP OPTIONS请求”的回应：要回答这个问题，我想知道你为什么想要响应OPTIONS请求？是谁/什么在向您发送OPTIONS请求，为什么？ 许多公共服务器会以某种形式（500、501、405）响应“错误”或“不允许”。因此，除非您处于一个特定的情况，您的客户端将合理地发送OPTIONS请求并期望得到有用/有意义的信息返回（例如WebDAV，CORS），否则您可能希望回复：“不要这样做。”
关于“OPTIONS /conversion HTTP / 1.1”请求的问题：除非您知道有一些客户端会向“/conversion”发送OPTIONS请求并期望响应“Allow: CONVERT”，否则答案是否定的：以那种方式进行响应是没有意义的。我认为大多数支持OPTIONS并响应“Allow”的实现都会响应标准的HTTP方法。 这里有一篇很棒的文章。
概述：OPTIONS存在问题，因为它不支持缓存。替代方案：服务器级元数据：尝试使用知名URI。资源特定：尝试在其响应中使用Link header或在该资源的表示格式中使用链接。

最后，如果您想要服务描述，请查看WADL或RSDL。

编辑：

dotnetguy在下面的评论中提出了一个很好的观点：在某些情况下（例如CORS），OPTIONS无疑是有价值的；我当然不是要否认这一点。