触发HTTP preflight预检及跨域的处理方法

哟哟-2024-03-07 17:14

最近在做需求的过程中,遇到了很多跨域和HTTP预检的问题。下面对我所遇到过的HTTP preflight和跨域的相关问题进行总结:

哪些情况会触发HTTP preflight

preflight属于cors规范的一部分,在有跨域的时候,在一定情况下会触发preflight请求。根据MDN的总结,触发预检请求的情况在以下五项条件的任意一项不满足都有可能发生:

  1. 请求方式:只能够使用GET POST HEAD
  2. 请求头:只能包含以下九种请求头 Accept Accept-Language Content-Language Content-Type DPR Downlink Save-Data Viewport-Width Width
  3. Content-Type:Content-Type只能包含以下三种类型 text/plain multipart/form-data application/x-www-form-urlencoded
  4. XMLHttpRequestUpload对象:XMLHttpRequestUpload对象没有注册任何事件监听器
  5. ReadableStream对象:请求中不能使用ReadableStream对象

总结来说,跨域不一定会触发preflight请求,但发生preflight预检请求则一定跨域了。下面来看本次关于跨域报错的几种情况及处理方法:

关于跨域报错

1. 接口调用跨域

在业务实现中,两个系统之间进行跳转一定存在跨域。跨域的报错一般是这样的:

Access to XMLHttpRequest at 'https://t8lzp389o4.execute-api.ap-northeast-1.amazonaws.com/dev/feedback' from origin 'http://ac-badcase-feedback.s3-website-ap-southeast-1.amazonaws.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

或者这样的:

Access to XMLHttpRequest at 'https://t8lzp389o4.execute-api.ap-northeast-1.amazonaws.com/dev/feedback' from origin 'http://ac-badcase-feedback.s3-website-ap-southeast-1.amazonaws.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

如何解决

可以看到,上述两种错误:

  1. 一种是提示被请求的资源缺少'Access-Control-Allow-Origin',该响应头是浏览器判断跨域的第一步。这种错误只需要给被请求的接口添加响应头即可解决:

response.setHeader("Access-Control-Allow-Origin", "*");

说明:* 表示可被所有服务跨域访问,可以替换成指定的服务,一般不建议使用 *

  1. 另一种是preflight校验没有通过。这种情况后端需要注意:对于跨域接口,需要添加OPTIONS请求处理。伪代码如下:
javascript 复制代码 
if (request.method === "OPTIONS") {
    response.status = 200
    return
 }

2. Access-Control-Allow-Private-Network

这种情况主要出现在:如从部署在亚马逊的系统 跳转到部署在内网的业务系统的过程中。浏览器报错提示如下:

Access to XMLHttpRequest at 'http://private.com' from origin 'http://public.com' has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space `private`.

报错截图如下:

解决方法

  1. 开发时:

支持公网访问的私网接口,添加Access-Control-Allow-Private-Network响应头

  1. 使用时:

不同浏览器对该响应头的限制不同:

  • 对于Firfox:添加上述响应头后,该跨域即可解决,无需其它操作,访问成功
  • 对于Chrome:添加该响应头依然无法解决上述问题,需要的操作:
    • 访问chrome://flags/地址
    • 搜索Block insecure private network requests,将该选项设置成Disabled,如下图:

相关资料

1. 私有网络访问限制

相关推荐
是娇娇公主~2 小时前
HTTPS【密钥交换+证书校验】流程讲解
网络·网络协议·面试·https·ssl
驰羽2 小时前
NAT模式下VMware的虚拟机DNS解析失败的问题解决
linux·网络·dns
誰能久伴不乏3 小时前
epoll 学习踩坑:`fcntl` 设置非阻塞到底用 `F_SETFL` 还是 `F_SETFD`?
linux·服务器·网络·c++·tcp/ip
北京耐用通信4 小时前
告别“蜘蛛网”接线!耐达讯自动化PROFIBUS 三路集线器让气缸布线“一拖三”的神操作
人工智能·物联网·网络协议·自动化·信息与通信
云川之下5 小时前
【网络】华为交换机S3700与S5700详解
服务器·网络·华为
小于晏5 小时前
基于Socket实现的主流网络协议汇总
网络·网络协议
tianyuanwo5 小时前
深入理解iptables:规则管理与匹配机制深度解析
网络·安全·web安全
TG:@yunlaoda360 云老大5 小时前
如何使用华为云国际站代理商WSA配置与架构交付中的安全策略?
网络·架构·华为云
打码人的日常分享5 小时前
企业数据资产管控和数据治理解决方案
大数据·运维·网络·人工智能·云计算
阿华hhh5 小时前
Linux系统编程(网络udp)
linux·服务器·c语言·网络·网络协议·udp
热门推荐
01GitHub 镜像站点023D 圣诞树网页代码03从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击04UV安装并设置国内源05Gemini3 生成的基于手势控制3D粒子圣诞树06Linux下V2Ray安装配置指南07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题09开源分享 | 超浪漫 3D 圣诞树立体动画(附零基础使用教程)10GLM-4.7 vs MiniMax-M2.1:代码工程理解