CORS: понимание предпроверочного запроса для междоменных запросов

Совместное использование ресурсов между источниками (CORS) создает проблемы при создании HTTP запросы между доменами. Чтобы устранить эти ограничения, в качестве обходного пути были введены предварительные запросы.

Объяснение предполетного запроса

Предварительные запросы — это запросы OPTIONS, которые предшествуют фактическим запросам (например, GET или POST). ) и служат для согласования с сервером разрешений запроса. Эти запросы включают в себя два дополнительных заголовка:

• Access-Control-Request-Method: Указывает метод фактического запроса.
• Access-Control -Request-Headers: Перечисляет заголовки, которые будут включены в фактический запрос.

Настройка ответа сервера

Для обработки предполетных запросов сервер должен ответить следующими заголовками:

• Access-Control-Allow-Origin: Предоставляет разрешение источнику, указанному в запросе.
• Access-Control-Allow-Methods: Указывает методы, разрешенные для фактического запроса.
• Access-Control-Allow-Headers: Перечисляет заголовки, которые браузеру разрешено использовать. отправьте фактический запрос.

Реализация предварительной проверки на стороне клиента

Чтобы предварительный запрос был успешным, клиент должен включить следующие изменения:

• Отправьте запрос OPTIONS: Перед фактическим запросом отправьте запрос OPTIONS с соответствующими заголовками Access-Control-Request-*.
• Включите необходимое заголовки: Убедитесь, что фактический запрос содержит все заголовки, указанные в заголовке ответа Access-Control-Allow-Headers.

Пример:

Рассмотрим предварительный запрос POST для получения данных с удаленного URL-адреса.

Предварительный запрос:

• Происхождение: https://yourdomain.com
• Метод-запроса-контроля доступа: POST
• Заголовки-запроса-контроля-доступа: X-Custom-Header

Ответ сервера (при условии POST и X-Custom-Header разрешены):

• Access-Control-Allow-Origin: https://yourdomain.com
• Access-Control-Allow-Methods : POST
• Access-Control-Allow-Headers: X-Custom-Header

Фактический запрос:

• Происхождение: https://yourdomain.com
• Метод: POST
• X-Custom-Header: value

Следуя этим шагам, вы можете эффективно выполнять предварительную проверку HTTP-запросов на преодолеть междоменные ограничения с помощью CORS.