重定向 CORS 跨域请求
TL;DR
- 非简单请求不可重定向,包括第一个preflight请求和第二个真正的请求都不行。
- 简单请求能够重定向任意屡次,但如需兼容多数浏览器,只可进行一次重定向。
中间服务器应当一样配置相关 CORS 响应头。跨域
中间服务器设置
当跨域请求被重定向时,中间服务器返回的 CORS 相关的响应头应当与最终服务器保持一致。 任何一级的 CORS 失败都会致使 CORS 失败。这些头字段包括Access-Control-Allow-Origin, Access-Control-Allow-Credentials等。浏览器
响应 preflight 的头字段包括Access-Control-Allow-Headers, Access-Control-Allow-Methods等。 由于 preflight 不容许重定向(见下文),因此中间服务器也就没必要管这些 preflight 头字段。服务器
若是中间服务器未设置Access-Control-Allow-Origin,在 Chrome 中的错误信息为:cors
XMLHttpRequest cannot load http://mid.com:4001/redirect.
Redirect from 'http://mid.com:4001/redirect' to 'http://index.com/access-control-allow-origin-wildcard'
has been blocked by CORS policy:
No 'Access-Control-Allow-Origin' header is present on the requested resource.
Origin 'http://index.com:4001' is therefore not allowed access.tcp
若是最终服务器未设置Access-Control-Allow-Origin,在 Chrome 中的错误信息为:测试
XMLHttpRequest cannot load http://index.com:4001/access-control-allow-origin-not-set.
No 'Access-Control-Allow-Origin' header is present on the requested resource.
Origin 'null' is therefore not allowed access.ui
Origin 变成 null 的解释见下文。调试
重定向preflight 请求
任何非 2xx 状态码都认为 preflight 失败, 因此 preflight 不容许重定向。各浏览器表现一致再也不赘述,可参考 W3C:code
The following request rules are to be observed while making the preflight request:
If the end user cancels the request Apply the abort steps.
If the response has an HTTP status code that is not in the 2xx range Apply the network error steps.
– W3C CORS Recommandation: Cross-Origin Request with Preflight开发
重定向简单请求
对于简单请求浏览器会跳过 preflight 直接发送真正的请求。 该请求被重定向后浏览器会直接访问被重定向后的地址,也能够跟随屡次重定向。 但重定向后请求头字段origin会被设为"null"(被认为是 privacy-sensitive context)。 这意味着响应头中的Access-Control-Allow-Origin须要是*或null(该字段不容许多个值)。
即便浏览器给简单请求设置了非简单头字段(如DNT)时,也应当继续跟随重定向且不校验响应头的DNT (由于它属于User Agent Header,浏览器应当对此知情)。 参考 W3C 对简单请求的处理要求:
If the manual redirect flag is unset and the response has an HTTP status code of 301, 302, 303, 307, or 308 Apply the redirect steps. – W3C CORS Recommendation
OSX 下 Chrome 的行为是标准的,即便设置了DNT也会直接跟随重定向。
Safari 的怪异行为
Safari 在设置DNT字段后,会向重定向后的地址首先发起 preflight(多是它忘记了该头部是本身设置的?)。 这一行为在桌面 Safari 的隐身模式,以及 iOS 不少浏览器中均可以观察到。 Safari 远程调试 iPhone,遇此行为调试器会崩掉(笔者试了3个 Mac+iPhone Pair)。
建议使用tcpdump或者写一个简单的 CORS 服务器来调试。 在 OPTIONS 请求中,会带有Access-Control-Request-Headers来声明须要发送dnt。
Access-Control-Request-Headers: 'dnt, accept-language, origin'
这意味着为了 Safari 系列的浏览器(包括 iOS 平台的多数浏览器), 重定向简单 CORS 请求仍然须要实现 OPTIONS 方法(虽然咱们发的只是是简单请求)。 而且在Access-Control-Allow-Headers响应头字段添加dnt声明。 不然 Safari 会认为 CORS 失败:
XMLHttpRequest cannot load http://index.com:4001/access-control-allow-origin-wildcard.
Request header field DNT is not allowed by Access-Control-Allow-Headers.
为了轻松地让 CORS preflight 成功,测试环境中能够简单地将请求头Access-Control-Request-Headers的内容直接设置到响应头的Access-Control-Allow-Headers。
重定向非简单请求
非简单请求是 preflight 成功后才发送实际的请求。 preflight 后的实际请求不容许重定向,不然会致使 CORS 跨域失败。
虽然在 Chrome 开发版中会对重定向后的地址再次发起 preflight,但该行为并不标准。 W3C Recommendation中提到真正的请求返回301, 302, 303, 307, 308都会断定为错误:
This is the actual request. Apply the make a request steps and observe the request rules below while making the request. If the response has an HTTP status code of 301, 302, 303, 307, or 308 Apply the cache and network error steps. – W3C CORS Recommendation
在 Chrome 中错误信息是Request requires preflight, which is disallowed to follow cross-origin redirect:
XMLHttpRequest cannot load http://mid.com:4001/cross-origin-redirect-with-preflight.
Redirect from 'http://mid.com:4001/cross-origin-redirect-with-preflight' to 'http://dest.com:4001/access-control-allow-origin-wildcard'
has been blocked by CORS policy: Request requires preflight,
which is disallowed to follow cross-origin redirect.
在 Safari 中的错误信息是Cross-origin redirection denied by Cross-Origin Resource Sharing policy.:
XMLHttpRequest cannot load http://mid.com:4001/redirect.
Cross-origin redirection denied by Cross-Origin Resource Sharing policy.
屡次重定向的讨论
屡次重定向涉及的一个关键问题是:preflight 后的请求不容许重定向。所以:
- 对于简单请求而且没有任何 preflight 的状况:浏览器会一直跟随重定向(固然 HTTP 另有规定的除外,如 POST 被 302 时),直到最后一个请求返回或者中间请求的 CORS 验证失败(好比Access-Control-Allow-Origin设置错误)。
- 对于简单请求可是浏览器会发起 preflight 的状况(好比 Safari 对 DNT 的处理):因 preflight 后重定向真正的请求会致使 CORS 失败,因此屡次重定向是不可行的。
- 对于非简单请求:浏览器会直接发起 preflight,后续的重定向都是不容许的所以屡次重定向不可行。
总之,若是须要兼容大多数浏览器,不管是否为简单请求都不能够屡次重定向。
- 1. [转] 重定向 CORS 跨域请求
- 2. 请求重定向
- 3. 跨域请求
- 4. angualr5 跨域请求
- 5. 请求转发与请求重定向
- 6. 请求重定向 与 请求转发
- 7. ajax跨域请求
- 8. WEB跨域请求
- 9. JS跨域请求
- 10. JavaScript 跨域请求
- 更多相关文章...
- • 伪造重定向ICMP数据包 - TCP/IP教程
- • HTTP 请求方法 - HTTP 教程
- • PHP Ajax 跨域问题最佳解决方案
- • RxJava操作符(十)自定义操作符
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解决方法
- 2. Qt5.7以上调用虚拟键盘(支持中文),以及源码修改(可拖动,水平缩放)
- 3. 软件测试面试- 购物车功能测试用例设计
- 4. ElasticSearch(概念篇):你知道的, 为了搜索…
- 5. redux理解
- 6. gitee创建第一个项目
- 7. 支持向量机之硬间隔(一步步推导,通俗易懂)
- 8. Mysql 异步复制延迟的原因及解决方案
- 9. 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码
- 10. windows系统下tftp服务器使用
- 1. [转] 重定向 CORS 跨域请求
- 2. 请求重定向
- 3. 跨域请求
- 4. angualr5 跨域请求
- 5. 请求转发与请求重定向
- 6. 请求重定向 与 请求转发
- 7. ajax跨域请求
- 8. WEB跨域请求
- 9. JS跨域请求
- 10. JavaScript 跨域请求