网络与协议 · 17/72
1. Ajax、Axios、Fetch 对比 2. Ajax 原理 3. Ajax 技术与实现 4. 常见的应用层协议 5. 浏览器缓存的存储位置 6. 从输入 URL 到页面显示的过程 7. Cache-Control 常见配置值 8. CDN 工作原理 9. 为什么推荐将静态资源放到 CDN 上 10. Cookie 的弊端 11. Cookie 的 Secure 属性设置 12. CORS 请求携带身份凭证的方法 13. CORS 跨域原理 14. 复杂请求预检检查内容 15. CORS 预检请求 16. CORS简单请求的条件 17. 简单请求为何无需预检 18. DNS 域名解析与网络请求路由 19. 什么是跨域 20. 什么是 DNS 劫持? 21. DNS 预解析优化网页加载速度 22. DNS 解析过程与优化 23. URL 参数为什么需要 encodeURIComponent 转码 24. Last-Modified 和 ETag 的区别 25. Fetch 发送两次请求的原因 26. 正向代理与反向代理 27. 前后端通信方式 28. GET请求能否上传图片 29. GET 请求的传参长度限制 30. HTTP 缓存策略 31. GET 与 POST 的区别 32. HTTP状态码301与302的区别 33. HTTP 数据传输 34. HTTP 队头阻塞 35. HTTP 请求头和响应头的重要字段 36. HTTP发展历程 37. HTTP与HTTPS总结 38. HTTP 和 HTTPS 的区别 39. HTTP 报文结构与状态码 40. HTTP Keep-Alive 机制 41. HTTP管道机制的作用 42. HTTP协议优缺点 43. HTTP 重定向状态码 301/302/303/307/308 44. HTTP 请求方法 45. HTTP 协议版本演进 46. HTTP与TCP的区别 47. HTTP/2 多路复用原理 48. HTTPS 协议的缺点 49. HTTP/3 如何保证传输可靠性 50. HTTP/2 的改进 51. HTTPS 加密原理 52. 什么是负载均衡? 53. Nginx 负载均衡调度算法 54. Nginx 是什么 55. 对象存储 OSS 是什么 56. OPTIONS 请求方法及使用场景 57. 轮询与 WebSocket 对比 58. HTTPS 中 SSL 的 OSI 层位置 59. SSL连接恢复 60. 强缓存和协商缓存 61. TCP 三次握手与四次挥手 62. TCP三次握手中的数据传输 63. TCP 和 HTTP 请求的关系 64. TCP/IP 协议 65. TCP 如何判断丢包 66. TCP 与 UDP 的区别 67. WebSocket 的 Handshaking 握手过程 68. TLS 1.3 相比 TLS 1.2 的改进 69. URI、URL、URN 的区别 70. WebSocket 心跳机制 71. WebSocket 协议原理 72. XML与JSON对比

简单请求为何无需预检

理解 CORS 中简单请求跳过预检的原因

问题

在 CORS 机制中,为什么简单请求不需要发送预检请求(OPTIONS),而复杂请求需要?

解答

什么是简单请求

满足以下所有条件的请求被视为简单请求:

  1. 方法限制:GET、HEAD、POST 之一
  2. 请求头限制:只能包含以下头部
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type(仅限下面三种)
  3. Content-Type 限制
    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded

不需要预检的原因

核心原因:历史兼容性

在 CORS 出现之前,浏览器已经允许通过 <form> 表单和 <img> 标签发起跨域请求:

<!-- 这些跨域请求在 CORS 之前就被允许 -->
<form action="https://other-site.com/api" method="POST">
  <input type="text" name="data">
  <button type="submit">提交</button>
</form>

<img src="https://other-site.com/image.png">

这些传统方式能发起的请求,恰好就是”简单请求”的范围。服务器早已能处理这类请求,不会因为它们产生意外的副作用。

预检的目的是保护服务器

// 复杂请求示例 - 需要预检
fetch('https://api.example.com/data', {
  method: 'DELETE',  // 非简单方法
  headers: {
    'Content-Type': 'application/json',  // 非简单 Content-Type
    'X-Custom-Header': 'value'  // 自定义头
  }
});

预检请求让服务器有机会在实际请求到达前决定是否接受。对于可能修改服务器数据的复杂请求,这层保护很重要。

请求流程对比

// 简单请求 - 直接发送
fetch('https://api.example.com/users', {
  method: 'GET'
});
// 浏览器直接发送 GET 请求,检查响应头决定是否暴露给 JS

// 复杂请求 - 先预检
fetch('https://api.example.com/users', {
  method: 'PUT',
  headers: {
    'Content-Type': 'application/json'
  },
  body: JSON.stringify({ name: 'test' })
});
// 浏览器先发 OPTIONS 请求
// 服务器返回允许的方法和头部
// 预检通过后才发送实际 PUT 请求

预检请求示例

# 预检请求
OPTIONS /users HTTP/1.1
Host: api.example.com
Origin: https://mysite.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Content-Type

# 预检响应
HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://mysite.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type
Access-Control-Max-Age: 86400

关键点

  • 简单请求的范围等同于 CORS 之前浏览器就能发起的跨域请求
  • 预检机制是为了保护服务器免受新型请求的意外影响
  • 简单请求仍会检查响应头,只是跳过了预检步骤
  • Access-Control-Max-Age 可缓存预检结果,减少 OPTIONS 请求次数
  • 即使是简单请求,服务器仍需返回正确的 CORS 头部,否则响应不会暴露给 JavaScript
上一章
CORS简单请求的条件
判断 CORS 请求是否为简单请求的条件
 下一章
DNS 域名解析与网络请求路由
从输入域名到请求到达服务器的完整过程

目录