面试官:post为什么会发送两次请求?
面试官:post为什么会发送两次请求?
原创 石杉 石杉的架构笔记
2024年07月29日 09:30 江西 26人听过
之前有人跟我们说,出去面试的时候,有时候会遇到一些让人头疼的问题,比如有一次去字节面试,面试官就问了一个让他很奇怪的问题:“为啥POST请求有时候会发送两次呢?”这个问题听起来挺玄乎的,但其实用大白话来说,原因还挺简单的。咱们这就来聊聊这个事儿。
首先,得明白啥是POST请求。POST请求就是咱们在网上干点啥事儿,比如提交个表单、上传个文件啥的,得跟服务器说:“嘿,我这儿有点东西,你给我处理一下。”这时候,浏览器就会发个POST请求给服务器。
那么,为啥有时候会发两次呢?这其实跟浏览器的“预检”机制有关系。简单来说,就是浏览器在正式发请求之前,会先问问服务器:“嘿,我要发请求了,你准备好了吗?能接收吗?”这个过程就叫做“预检请求”,也叫OPTIONS请求。
为啥要有这个预检呢?因为有时候咱们发的请求可能比较复杂,比如请求头里面带了点特殊的东西,或者请求方法是PUT、DELETE这种不常用的。这时候,浏览器就会有点担心,怕服务器不理解或者不接受这个请求,所以就先发个简单的OPTIONS请求去问问。
如果服务器说:“没问题,你来吧!”那浏览器就会再发一次正式的POST请求。所以,咱们就看到了两次请求:一次是预检的OPTIONS请求,一次是正式的POST请求。
那么,举个实际的例子来说明一下。假设你正在开发一个网页应用,其中有一个功能是让用户能够上传图片。当用户选择了一张图片并点击上传按钮时,浏览器就会发送一个POST请求到服务器,以便将图片上传到服务器上。
但是,如果这个请求中包含了一些特殊的请求头,比如自定义的X-Requested-With头,或者请求的内容类型(Content-Type)不是常见的application/x-www-form-urlencoded、multipart/form-data或text/plain,那么浏览器就会先发送一个OPTIONS请求进行预检。
这个OPTIONS请求会询问服务器是否接受这种类型的请求。如果服务器响应说可以接受,那么浏览器才会继续发送正式的POST请求,将图片上传到服务器上。
预检请求和正式请求之间有一些明显的区别。首先,它们的目的不同。预检请求的目的是询问服务器是否接受某种类型的请求,而正式请求则是实际执行某种操作,比如上传文件、提交表单等。其次,它们的请求方法不同。预检请求总是使用OPTIONS方法,而正式请求则可以使用GET、POST、PUT、DELETE等方法。最后,它们的请求头和请求体也可能不同。预检请求通常只包含一些基本的请求头,而正式请求则可能包含更多的请求头和请求体数据。
所以,先总结一下,POST请求有时候会发送两次,是因为浏览器为了保险起见,先发个预检请求去问问服务器:“我能发这个请求吗?”得到允许后,再发正式的请求。这样,就能确保咱们的请求能够顺利到达服务器,并得到正确的处理了。
好了,现在大家明白了吧,以后面试遇到这个问题就可以很好的回答清楚了,说白了不是发送两次post请求,而是在一些特殊的情况下,如果post请求要带一些特殊的请求头,平时不太常见,浏览器就会发担心服务端没法接收和处理,那如果服务端没法处理,自己何必还发送post请求携带大量的表单数据、文件数据、图片数据过去呢?这不是吃饱了没事干么,对吧!
所以此时才会先发个options预检请求过去,带一些请求头,问一下服务端后面能不能处理正式的请求。另外的话,对于发options预检请求的情况还有一种比较特殊的,就是同源策略下的跨域访问,这个也是有可能会提前发options预检请求的。
浏览器的同源策略,简单来说,就是浏览器为了安全起见,设置的一个规矩。这个规矩规定,来自不同源的网页之间不能直接进行交互。这里的“源”指的是协议(比如http或https)、域名(比如www.example.com)和端口号(比如80或443)这三者的组合。只要这三者中有任何一个不同,就认为是不同的源。
那不同的源肯定不能互相瞎请求啊,比如说浏览器请求服务器A返回了一个网页,结果这个服务器A跑的A系统的网页里,有一个请求要去请求服务器B上部署的B系统,那这种就很奇怪了,对浏览器来说你们是两个服务器,也就是两个不同的系统,干什么要互相瞎访问,有没有可能A系统是一个涉灰系统在搞破坏,盗取数据,对不对?
举个日常的例子,就像你有两个家,一个在北京,一个在上海。虽然都是你的家,但因为地理位置不同(就像协议、域名、端口号不同),所以你不能直接从北京的家跑到上海的家去拿东西,除非你走特殊通道(就像跨域资源共享CORS)。
那CORS的话,全称是跨域资源共享(Cross-Origin Resource Sharing),是浏览器和服务器之间的一种约定,用来解决跨域请求的问题。简单来说,CORS就是一种机制,让服务器告诉浏览器:“嘿,这个网页虽然来自不同的源,但它是安全的,你可以让它访问我的资源。”
就是说服务器A的网页里的JS代码去请求服务器B了,那就是跨域了,那跨域发起的请求就是CORS请求了。
那浏览器发跨域请求的时候,会不回发options预检请求呢?其实也是会的,因为当浏览器发起跨域请求时,并不是所有的请求都会直接发送。有时候,浏览器也是会先发出一个OPTIONS请求,这个请求就像是浏览器在问服务器:“嘿,我这儿有一个网页想发个请求到你的地盘,但是网页和你的话,咱俩不是同一个源的,你得先告诉我,你同不同意?”这个过程就叫做跨域请求之前的预检请求。
那么,跨域请求的时候,什么情况下会发出OPTIONS预检请求呢?主要有以下几种情况:
1、请求方法不是GET、HEAD、POST:因为GET、HEAD、POST这三种方法被认为是“简单”的,通常不会对服务器造成太大影响,所以浏览器会直接发送请求。但如果是PUT、DELETE等方法,浏览器就会先发个OPTIONS请求问问,就怕有人要搞破坏。
对于GET、HEAD、POST这种简单请求,浏览器是没有预检请求的,他会直接发送请求到服务器,并在请求头中包含一个Origin字段,表明这个请求的来源。服务器收到请求后,会根据请求头中的Origin字段来决定是否允许这个跨域请求。如果允许,服务器会在响应头中包含Access-Control-Allow-Origin字段,并返回相应的资源。
但是大部分情况下,很多后端系统如果用的是MVC框架的话,都会默认禁止CORS跨域请求,所以这个时候如果你发现后端系统异常了,配置一下MVC框架,打开CORS跨域请求支持就可以了,那就可以处理跨域请求了。
2、请求头包含了自定义字段:比如你在请求头里加了个X-Token,浏览器就会觉得:“咦,这个请求头看起来不简单,我得先问问服务器同不同意。”
3、Content-Type不是常见的三种类型:常见的Content-Type有application/x-www-form-urlencoded、multipart/form-data和text/plain。如果你用了其他类型,比如application/json,浏览器也会先发个OPTIONS请求。
再总结一下,当浏览器觉得一个跨域请求“不简单”时,就会先发个OPTIONS请求去预检一下,看看服务器同不同意。如果服务器同意了,浏览器才会继续发送正式的请求。这就像你去别人家做客,如果不是很熟,你可能会先打个电话问问对方方不方便,得到同意后再去。
好了,今天咱们从一个面试题问post为什么发两次请求开始引入,用大白话重点聊了聊浏览器的options预检请求问题,并且举了一些例子,尤其是讲了一些同源策略、跨域请求、预检请求之间的关系,相信大家也学到了不少东西,以后面试遇到一定要加油!
阅读 5.0万