[浏览器] XMLHttpRequest/fetch 有办法构造出所谓的“简单请求”吗?
justdoit123 2024-07-17 08:32:37 +08:00 2120 次点击这是一个创建于 450 天前的主题,其中的信息可能已经有所发展或是发生改变。
看了 MDN 的文档 - CORS Simple Reqeusts,按这一句说明:
If the request is made using an XMLHttpRequest object, no event listeners are registered on the object returned by the XMLHttpRequest.upload property used in the request; that is, given an XMLHttpRequest instance xhr, no code has called xhr.upload.addEventListener() to add an event listener to monitor the upload.
看着感觉可以用 XMLHttpRequest 构建一个不被 CORS 拦截的简单请求。但是试了几次,感觉都成功不了。
比如下面这段 js ,在 v2ex.com 的 web console 下执行的时候,会被 CORS 拦截下来。
const http = new XMLHttpRequest() http.Onreadystatechange= function() { if (this.readyState === 4 && this.status === 200) { console.log( http.responseText); } } http.open('GET', 'https://www.google.com/js/bg/7ggH1mMGEukBBwoLB3EX4ZHW7ZyTei_QLMtxr-2MQIA.js', true); http.send(); 如果 XMLHttpRequest/fetch 无法构造出简单请求,这个文档就没必要提起,直接说这两类请求都不是简单请求即可了。所以挺疑惑的。
当然了,构造这种请求似乎没有什么使用价值,大家不用在使用 CORS 上费口舌,仅做解惑。
第 1 条附言 2024-07-17 10:21:55 +08:00
不用讨论怎样做 CORS。我只是读文档,有疑惑而已。
楼上 #1, #6 说的是正解,非常感谢~ 意思就是说,简单请求 只是 不触发预检,并不是说这类请求能绕过 CORS 保护。
而 script、img、link、form 这类标签构造出来的请求能绕过 CORS 保护,是为了 向后兼容。
12 条回复 2024-07-17 10:19:50 +08:00
 | 1 okakuyang 2024-07-17 08:38:59 +08:00 via iPhone  1 简单请求只是不触发预检,所有从脚本中发起的请求都应该是遵循同源规则, |
 | 2 Bingchunmoli 2024-07-17 08:41:22 +08:00 via Android |
 | 3 imdong 2024-07-17 08:43:08 +08:00 via iPhone 说白了,同源检测最终目的是为了安全,不是为了给你添麻烦。 所以,安全这事怎么可能留口子给你跳过。 |
 | 4 rabbbit 2024-07-17 08:48:45 +08:00 那个简单请求是为了兼容以前的表单 |
 | 5 estk 2024-07-17 08:52:16 +08:00 via iPhone 用自己开发的浏览器可以 |
 | 6 sagaxu 2024-07-17 08:57:21 +08:00 1 1 楼已经揭秘, Some requests don't trigger a CORS preflight. Those are called simple requests from the obsolete CORS spec, though the Fetch spec (which now defines CORS) doesn't use that term. 简单请求,它只是不触发预检,服务端收到请求做了应答,浏览器根据响应头做 CORS 校验。 HTTP/2 200 accept-ranges: bytes content-encoding: br content-security-policy-report-only: require-trusted-types-for 'script'; report-uri https://csp.withgoogle.com/csp/botguard-scs cross-origin-resource-policy: cross-origin cross-origin-opener-policy: same-origin; report-to="botguard-scs" report-to: {"group":"botguard-scs","max_age":2592000,"endpoints":[{"url":"https://csp.withgoogle.com/csp/report-to/botguard-scs"}]} content-length: 7450 x-content-type-options: nosniff server: sffe x-xss-protection: 0 date: Thu, 11 Jul 2024 10:40:23 GMT expires: Fri, 11 Jul 2025 10:40:23 GMT cache-control: public, max-age=31536000 last-modified: Mon, 08 Jul 2024 09:30:00 GMT content-type: text/Javascript vary: Accept-Encoding age: 483284 alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000 X-Firefox-Spdy: h2 不做预检,服务端能收到业务请求 做预检,服务端收不到业务请求 |
 | 7 daysv 2024-07-17 09:21:51 +08:00 没弄懂楼主要解决什么问题 |
 | 9 yuzo555 2024-07-17 09:29:28 +08:00 简单请求是浏览器直接先完成请求,然后直接从请求的响应头判断是否允许 CORS ,如果不允许,数据就不给你; 复杂请求是先发起一个预检查请求( OPTIONS ,如果有预检查请求的有效缓存也可以不发起),根据预检查请求的结果来判断是否允许 CORS ,允许才去做正式请求。 无论是简单请求与否,如果目标服务器不允许你跨域访问,浏览器都不会让你获取到目标资源。 |
 | 12 justdoit123 OP 不用讨论这样做 CORS 。我只是读文档,有疑惑而已。 楼上 #1, #6 说的是正解,非常感谢~ 意思就是说,简单请求 **只是** 不触发预检,并不是说这类请求能绕过 CORS 保护。 而 script 、img 、link 、form 这类标签构造出来的请求能绕过 CORS 保护,是为了 **向后兼容**。 |
Select Language