乙個Option請求引發的深度解析

rfc2616標準（現行的http/1.1）中如下描述：

簡而言之，options請求方法的主要用途有兩個：

1、獲取伺服器支援的http請求方法；

2、用來檢查伺服器的效能。

cors(跨域資源共享)

cors是一種網路瀏覽器的技術規範，它為web伺服器定義了一種方式，允許網頁從不同的域訪問其資源。而這種訪問是被同源策略所禁止的。cors系統定義了一種瀏覽器和伺服器互動的方式來確定是否允許跨域請求。

使用cors的方式非常簡單，但是需要同時對前端和伺服器端做相應處理。

1、前端

客戶端使用xmlhttprequest發起ajax請求，當前絕大部分瀏覽器已經支援cors方式，且主流瀏覽器均提供了對跨域資源共享的支援。

2、伺服器端

如果伺服器端未做任何配置，則前端發起ajax請求後，會得到cors access deny，即跨域訪問被拒絕。

對於c#做如下配置可允許資源的跨域訪問：

...

對於nodejs做如下配置可允許資源的跨域訪問：

access-control-allow-origin:*表示允許任何域發起請求，如果只允許特定的域訪問，則設定access-control-allow-origin:***為具體網域名稱即可。

preflighted requests(預檢請求)

preflighted requests是cors中一種透明伺服器驗證機制。預檢請求首先需要向另外乙個網域名稱的資源傳送乙個 http options 請求頭，其目的就是為了判斷實際傳送的請求是否是安全的。

下面的2種情況需要進行預檢：

2、中設定自定義頭，比如 x-json、x-mengxianhui 等。

了解完這3個概念，其實答案已經了然了。

參考：