為什麼每次請求之前要發送一個OPTIONS請求

剛接觸前端的時候，以為HTTP的Request Method隻有GET與POST兩種，後來才了解到，原來還有HEAD、PUT、DELETE、OPTIONS……

目前的工作中，HEAD、PUT、DELETE我是真的沒有見過……但是OPTIONS幾乎天天都會遇到。本地環境跑公司項目的時候，每次POST之前，為啥浏覽器還偷偷給我來一次沒有傳回的OPTIONS請求？

原來，浏覽器在某些請求中，在正式通信前會增加一次HTTP查詢請求，稱為"預檢"請求（preflight）。

浏覽器先詢問伺服器，目前網頁所在的域名是否在伺服器的許可名單之中，以及可以使用哪些HTTP動詞和頭資訊字段。隻有得到肯定答複，浏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

本地環境請求接口的時候，每次請求接口之前都會多一次OPTIONS請求。

CORS

CORS是一個W3C标準，全稱是"跨域資源共享"（Cross-origin resource sharing）。

它允許浏覽器向跨源伺服器，發出XMLHttpRequest請求，進而克服了AJAX隻能同源使用的限制。

CORS需要浏覽器和伺服器同時支援。目前，所有浏覽器都支援該功能，IE浏覽器不能低于IE10。

整個CORS通信過程，都是浏覽器自動完成，不需要使用者參與。對于開發者來說，CORS通信與同源的AJAX通信沒有差别，代碼完全一樣。浏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭資訊，有時還會多出一次附加的請求，但使用者不會有感覺。

是以，實作CORS通信的關鍵是伺服器。隻要伺服器實作了CORS接口，就可以跨源通信。

兩種請求

浏覽器将CORS請求分為兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

同時滿足以下條件，就是簡單請求：

（1) 請求方法是以下三種方法之一：

• HEAD
• GET
• POST

（2）HTTP的頭資訊不超出以下幾種字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type：隻限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

簡單請求

對于簡單請求，浏覽器直接發出CORS請求。具體來說，就是在頭資訊之中，增加一個Origin字段。

Origin字段用來說明，本次請求來自哪個源（協定 + 域名 + 端口）。伺服器根據這個值，決定是否同意這次請求。

如果Origin指定的源，不在許可範圍内，伺服器會傳回一個正常的HTTP回應。浏覽器發現，這個回應的頭資訊沒有包含Access-Control-Allow-Origin字段（詳見下文），就知道出錯了，進而抛出一個錯誤，被XMLHttpRequest的onerror回調函數捕獲。注意，這種錯誤無法通過狀态碼識别，因為HTTP回應的狀态碼有可能是200。

如果Origin指定的域名在許可範圍内，伺服器傳回的響應，會多出幾個頭資訊字段。都以Access-Control- 開頭：

（1）Access-Control-Allow-Origin 

該字段是必須的。它的值要麼是請求時Origin字段的值，要麼是一個*，表示接受任意域名的請求。

需要注意的是，如果要發送Cookie，Access-Control-Allow-Origin就不能設為星号，必須指定明确的、與請求網頁一緻的域名。同時，Cookie依然遵循同源政策，隻有用伺服器域名設定的Cookie才會上傳，其他域名的Cookie并不會上傳，且（跨源）原網頁代碼中的document.cookie也無法讀取伺服器域名下的Cookie。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個布爾值，表示是否允許發送Cookie。預設情況下，Cookie不包括在CORS請求之中。設為true，即表示伺服器明确許可，Cookie可以包含在請求中，一起發給伺服器。這個值也隻能設為true，如果伺服器不要浏覽器發送Cookie，删除該字段即可。

（3）Access-Control-Expose-Headers

該字段可選。CORS請求時，XMLHttpRequest對象的getResponseHeader()方法隻能拿到6個基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers裡面指定。

非簡單請求

非簡單請求是那種對伺服器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

我工作中寫的所有頁面拉的接口都是非簡單請求。

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱為"預檢"請求（preflight）。

浏覽器先詢問伺服器，目前網頁所在的域名是否在伺服器的許可名單之中，以及可以使用哪些HTTP動詞和頭資訊字段。隻有得到肯定答複，浏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

在頁面域名與接口域名不一緻的情況下，就出現了每次請求前先發送一個options請求的問題。

OPTIONS請求頭資訊中，除了Origin字段，還至少會多兩個特殊字段：

（1）Access-Control-Request-Method

該字段是必須的，用來列出浏覽器的CORS請求會用到哪些HTTP方法。

（2）Access-Control-Request-Headers

該字段是一個逗号分隔的字元串，指定浏覽器CORS請求會額外發送的頭資訊字段。

至于其他亂七八糟的字段，現在的我還用不到也不懂，将會慢慢深入了解。

伺服器收到預檢請求後，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以後，确認允許跨源請求，就可以做出回應。

上面的HTTP回應中，關鍵的是Access-Control-Allow-Origin字段，表示http://lizard.qa.nt.ctripcorp.com可以請求資料。該字段也可以設為星号，表示同意任意跨源請求。

如果浏覽器否定了"預檢"請求，會傳回一個正常的HTTP回應，但是沒有任何CORS相關的頭資訊字段。這時，浏覽器就會認定，伺服器不同意預檢請求，是以觸發一個錯誤，被XMLHttpRequest對象的onerror回調函數捕獲。控制台會列印出如下的報錯資訊。

XMLHttpRequest cannot load http://lizard.qa.nt.ctripcorp.com

Origin http://lizard.qa.nt.ctripcorp.com is not allowed by Access-Control-Allow-Origin.

其他字段中Access-Control-Max-Age 用來指定本次預檢請求的有效期，機關為秒。該字段可選。

與JSONP的對比

CORS與JSONP的使用目的相同，但是比JSONP更強大。

JSONP隻支援GET請求，JSONP的優勢在于支援老舊浏覽器。