Что такое preflight-запрос и при каких условиях браузер его отправляет?

Question

Preflight-запрос — это предварительный HTTP-запрос методом OPTIONS, который браузер отправляет перед основным запросом, если он не является простым. Он нужен, чтобы сервер подтвердил разрешение на кросс-доменный запрос. Браузер отправляет его, если используется нестандартный метод (например, PUT, DELETE), или если заголовки выходят за рамки простых (например, Authorization).

YeaHub · Accepted Answer

Что такое preflight-запрос?Preflight-запрос — это механизм безопасности браузера, реализованный в рамках политики CORS (Cross-Origin Resource Sharing). Когда веб-страница пытается отправить HTTP-запрос на другой домен, браузер может сначала отправить предварительный запрос методом OPTIONS, чтобы узнать, разрешает ли сервер такой кросс-доменный запрос. Это защищает сервер от неожиданных запросов, которые могут быть опасными.Когда браузер отправляет preflight?Preflight-запрос отправляется, если основной запрос не является «простым». Простым считается запрос, который удовлетворяет всем условиям:Метод: GET, HEAD или POST.Заголовки: только Accept, Accept-Language, Content-Language, Content-Type (со значением application/x-www-form-urlencoded, multipart/form-data или text/plain).Не используются события ReadableStream или другие сложные особенности.Если запрос использует другой метод (например, PUT, DELETE, PATCH) или содержит нестандартные заголовки (например, Authorization, X-Custom-Header), браузер автоматически отправляет preflight.Пример preflight-запросаПредположим, фронтенд на http://example.com хочет отправить DELETE-запрос на http://api.example.com/resource. Браузер сначала отправит OPTIONS-запрос:OPTIONS /resource HTTP/1.1
Host: api.example.com
Origin: http://example.com
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: AuthorizationСервер должен ответить с заголовками, разрешающими запрос:HTTP/1.1 204 No Content
Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: DELETE
Access-Control-Allow-Headers: AuthorizationПосле этого браузер отправит основной DELETE-запрос.ВыводPreflight-запросы — это важная часть безопасности веб-приложений, предотвращающая неавторизованные кросс-доменные запросы. Их нужно учитывать при разработке API, чтобы сервер корректно обрабатывал OPTIONS-запросы и возвращал правильные CORS-заголовки. Это особенно актуально для REST API, которые используются с фронтендом на другом домене.

Что такое preflight-запрос и при каких условиях браузер его отправляет?

Короткий ответ

Длинный ответ

Что такое preflight-запрос?

Когда браузер отправляет preflight?

Пример preflight-запроса

Вывод

Что такое preflight-запрос и при каких условиях браузер его отправляет?

Короткий ответ

Длинный ответ

Что такое preflight-запрос?

Когда браузер отправляет preflight?

Пример preflight-запроса

Вывод