发生两个请求,其中一个是OPTIONS请求,这通常是因为启用了 CSRF 防护造成的。
原因是:
- 设置 CORS 跨域访问时,浏览器会先发送一个 OPTIONS 预检请求,询问服务器支持哪些CORS操作。
- 这是浏览器的一个安全机制,用来检测服务器是否允许该类型的CORS请求。
- 而 CSRF 防护需要同源验证,也就是检查Referer。但CORS预检请求Referer会为空。
- 为了支持CORS同时防御CSRF,服务器需要在OPTIONS响应中,加入"Access-Control-Allow-Credentials: true"。
- 表示允许request中的用户凭证(如cookie)跨域访问。从而既支持CORS,又实现CSRF防护。
所以:
- 浏览器发现需要跨域请求,会先发送OPTIONS预检请求
- 服务器响应支持凭证跨域
- 浏览器第二次发送真实请求加上Referer
- 服务器检查Referer实现CSRF防护
- 响应成功完成CORS跨域请求
总之,多出的OPTIONS请求就是浏览器跨域安全机制需要的预检,服务器设定了支持凭证跨域从而兼容了跨域和CSRF双重验证机制。
