Pourquoi suis-je obtenir une demande d'OPTIONS au lieu d'une requête GET?

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.js" type="text/javascript"></script>
<script>
$.get("http://example.com/", function(data) {
     alert(data);
});
</script>

il ne fait pas de demande d'OPTIONS pour que l'URL et puis le callback n'est appelé avec quoi que ce soit.

Quand il n'est pas de la croix de domaine, il fonctionne très bien.

Ne devrait pas jQuery viens de faire l'appel avec un <script> nœud, puis faire le rappel lors de son chargement? Je comprends que je ne vais pas être en mesure d'obtenir le résultat (puisque c'est la croix de domaine), mais c'est OK, je veux juste l'appel à aller de travers. Est-ce un bug, ou suis-je en train de faire quelque chose de mal?

  • Pourrait être cos de la croix de domaine. E. g si vous êtes sur votre fichier: File://PATH_TO_WEBSITE au lieu d'utiliser localhost/WEBSITE_LINK
InformationsquelleAutor Paul Tarjan | 2009-08-10
  1. 248

    Selon MDN,

    Contrôlé demandes

    Contrairement à une simple demande (voir ci-dessus), "contrôlé" les demandes de première
    envoyer un HTTP OPTIONS d'en-tête de demande de la ressource à l'autre
    domaine, afin de déterminer si la demande est sûr
    envoyer. Les requêtes inter-domaines sont contrôlé comme cela, car ils peuvent
    avoir des implications pour les données de l'utilisateur. En particulier, une demande est
    contrôlé si:

    • Il utilise des méthodes autres que GET ou POST. Aussi, si le POST est utilisée pour envoyer des
      les données de la demande avec un Type de Contenu autres que
      application/x-www-form-urlencoded, multipart/form-data, ou text/plain,
      par exemple, si la requête POST envoie une charge utile XML au serveur à l'aide
      application/xml ou texte/xml, alors que la demande est contrôlé.
    • Il définit les en-têtes personnalisés à la demande (par exemple, la demande utilise un en-tête comme
      X-PINGOTHER)
    • cela a résolu notre problème, en changeant de "application/json" à "text/plain" arrêté de l'horrible options de demande
    • ce que je ne comprends pas, c'est pourquoi le navigateur demande avec la méthode des OPTIONS juste pour vérifier la demande réelle est sûr d'envoyer. mais dans quel sens ? je veux dire que le serveur peut également imposer des restrictions à certains en-têtes de réponse alors pourquoi est-ce nécessaire ?
    • Rappelez-vous qu'en ajoutant de la SCRO, vous êtes potentiellement accepter les demandes de quelqu'un, en qui ils pouvaient manipuler des données sur votre serveur par le biais de demandes (POST, PUT, DELETE, etc). Dans ces situations, comme lors de l'utilisation d'en-têtes personnalisés, le navigateur est juste vérifier avec le premier serveur que le serveur est prêt à accepter la demande avant de l'envoyer comme l'envoi non sollicité de requêtes sur le serveur pourrait être vraiment dangereux pour vos données, et aussi, quel est le point dans le navigateur de l'envoi potentiellement de grandes charges utiles si le serveur n'est pas vouloir accepter, d'où la pré-vol à cocher des OPTIONS.
    • si l'envoi de vos données vers le serveur peut être dangereux, en ce sens, le serveur risque d'être compromise, alors bien sûr, le serveur malveillant de répondre à votre demande OPTIONS avec "bien Sûr, l'envoyer dans tous les coins!". Comment est-ce que la sécurité? (question honnête)
    • "contrôle en amont des demandes ne sont pas une sécurité de chose. Plutôt, ils sont à un pas de changer les règles de la chose." - Voir la réponse à la Quelle est la Motivation Derrière l'Introduction du contrôle en amont des Demandes
    • comment envoyer personnalisé en-tête X-Authentification contenant le jeton sans OPTIONS envoyé alors?
    • Les gars, vous pouvez simplement vérifier les OPTIONS de votre code (au-dessus de toutes les autres règles) et il suffit de retourner une réponse 200 pour elle.
    • L'ensemble de la SCRO spec est étrange: quel est le point de rejeter des en-têtes personnalisés si les développeurs de l'Api principales comme un résultat de les déplacer vers l'URL en tant que paramètre de requête? Cette spécification n'est pas bien adapté à la réalité ou vice versa.
    • Elle est utilisée pour vérifier que le serveur attend les "non-standard" de la croix-de l'origine des demandes. XHR (ajax) les requêtes peuvent envoyer des demandes que les navigateurs ne peut envoyer (par exemple,PUT, DELETE). La SCRO est conçu pour empêcher l'attaque indirecte à l'égard de votre serveur à l'aide de navigateurs des visiteurs sur certains site 3ème partie.

    InformationsquelleAutor arturgrigor
  3. 7

    Si vous essayez de POST

    Assurez-vous de JSON.stringify vos données de formulaire et de l'envoyer en tant que text/plain.

    <form id="my-form" onSubmit="return postMyFormData();">
    <input type="text" name="name" placeholder="Your Name" required>
    <input type="email" name="email" placeholder="Your Email" required>
    <input type="submit" value="Submit My Form">
</form>
    function postMyFormData() {

    var formData = $('#my-form').serializeArray();
    formData = formData.reduce(function(obj, item) {
        obj[item.name] = item.value;
        return obj;
    }, {});
    formData = JSON.stringify(formData);

    $.ajax({
        type: "POST",
        url: "https://website.com/path",
        data: formData,
        success: function() { ... },
        dataType: "text",
        contentType : "text/plain"
    });
}
    InformationsquelleAutor Derek Soike
  4. 2

    Je ne crois pas que jQuery va naturellement faire un JSONP demande lors d'une URL comme ça. Il sera, cependant, faire une requête JSONP lorsque vous lui dites de quel argument utiliser pour un rappel:

    $.get("http://metaward.com/import/http://metaward.com/u/ptarjan?jsoncallback=?", function(data) {
     alert(data);
});

    Il est tout à fait à la réception de script pour faire usage de cet argument (qui n'ont pas à être appelé "jsoncallback"), donc dans ce cas, la fonction ne sera jamais appelé. Mais, puisque vous avez déclaré que vous voulez juste le script à metaward.com pour l'exécuter, que ferait-il.

    • MON rappel toujours être informé que l'élément script est complètement chargé? Je veux juste m'assurer que la mise à jour s'est passé avant que j'ai une requête à l'API pour elle.
    • Vous si la réception de script prend en charge JSONP, et est prêt à appeler la fonction vous identifier. Si le script ne fait rien, mais de générer un bloc de données JSON avec aucune autre comportement, vous ne serez pas en mesure de dire quand c'est fait, le chargement. Si il est essentiel de dire quand c'est fait, le chargement, vous pouvez envisager la mise en œuvre d'un script sur votre propre serveur qui agit comme un proxy.
    InformationsquelleAutor VoteyDisciple
  5. 1

    En fait, la croix-domaine AJAX (XMLHttp) les demandes ne sont pas autorisés pour des raisons de sécurité (pensez à récupérer un "restreinte" de la page web côté client, et de l'envoyer au serveur ce serait un problème de sécurité).

    La seule solution de contournement sont des rappels. Il s'agit de: la création d'un nouveau script de l'objet et de pointage de la src à la fin de JavaScript côté, qui est un rappel avec JSON valeurs (myFunction({données}), myFunction est une fonction qui fait quelque chose avec les données (par exemple, le stocker dans une variable).

    • droit, mais je peux le charger dans un <script src=""> ou <img src="">, et le navigateur sera heureux de le frapper. Je veux juste savoir quand il est entièrement chargé, donc je peux requête pour le résultat de l'importation.
    InformationsquelleAutor Adrián Navarro
  6. 1

    Il suffit de changer le "application/json" à "text/plain" et n'oubliez pas le JSON.stringify(demande):

    var request = {Company: sapws.dbName, UserName: username, Password: userpass};
    console.log(request);
    $.ajax({
        type: "POST",
        url: this.wsUrl + "/Login",
        contentType: "text/plain",
        data: JSON.stringify(request),

        crossDomain: true,
    });
    InformationsquelleAutor David Lopes
  7. 1

    J'ai eu le même problème. Ma solution était d'ajouter des en-têtes de mon script PHP qui sont présents uniquement en environnement de dev.

    Cela permet des requêtes inter-domaine:

    header("Access-Control-Allow-Origin: *");

    Cela indique que la demande de contrôle en amont qu'il est OK pour le client d'envoyer les en-têtes qu'il veut:

    header("Access-Control-Allow-Headers: *");

    De cette façon, il n'est pas nécessaire de modifier la demande.

    Si vous avez des données sensibles dans votre dev base de données qui pourrait potentiellement être une fuite, alors vous pourriez penser à deux fois à ce sujet.

    InformationsquelleAutor fivebit
  8. 0

    Il est à la recherche comme Firefox et Opera (testé sur mac ainsi) n'aime pas la croix domainness de cette (mais Safari est bien avec elle).

    Vous pourriez avoir à appeler un serveur local de code côté de roulage de la télécommande page.

    InformationsquelleAutor helloandre
  9. 0

    Dans mon cas, la question n'était pas liée à la SCRO depuis que j'ai été la délivrance d'un jQuery POST pour le même serveur web. Les données JSON, mais j'avais omis le dataType: 'json' paramètre.

    Je n'ai pas (je n'ai d'ajouter) un contentType paramètre comme le montre David Lopes réponse ci-dessus.

    InformationsquelleAutor GarDavis
  10. 0

    J'ai été en mesure de le réparer avec l'aide d'en-têtes suivants

    Access-Control-Allow-Origin
Access-Control-Allow-Headers
Access-Control-Allow-Credentials
Access-Control-Allow-Methods

    Si vous êtes sur Nodejs, voici le code que vous pouvez copier/coller.

    app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin','*');
  res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
  res.header('Access-Control-Allow-Credentials', true);
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, PATCH');
  next();
});
    InformationsquelleAutor obai