Согласно статье Mozilla Developer Center Контроль доступа HTTP , межсайтовые POST-запросы могут быть "простыми" - т.е. не требуют предварительной проверки - если Content-Type запроса равен application/x-www-form-urlencoded.
Я не получаю такого поведения в Firefox, и я совсем не понимаю, почему это так. Вот мой установочный код:
function makeXDomainRequest(url, method, data) {
var req =
typeof XDomainRequest !== "undefined" ?
new XDomainRequest() : new XMLHttpRequest();
req.open(method || "GET", url, true);
if (typeof req.onload !== "undefined") {
req.onload = onResponseLoad;
req.onerror = onRequestError;
} else {
req.onreadystatechange = onRequestStateChange;
}
if (data && typeof req.setRequestHeader === "function") {
req.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
} else {
// no way to set Content-Type req header in IE's XDomainRequest:
// http://blogs.msdn.com/b/ieinternals/archive/2010/05/13/xdomainrequest-restrictions-limitations-and-workarounds.aspx
}
req.send(data || null);
}
function onResponseLoad() {
alert("Response!\n" + this.responseText);
}
function onRequestError(args) {
alert("Error!");
}
function onRequestStateChange() {
if (this.readyState === 4) {
if (this.status === 200) {
onResponseLoad.apply(this);
} else {
onRequestError.apply(this);
}
}
}
А вот сервер, на котором я пингуюсь:
// thanks to http://saltybeagle.com/cors/ for having this demo endpoint:
var URL = "http://ucommbieber.unl.edu/CORS/cors.php";
Теперь, если я делаю простой запрос POST - с данными, отправленными как application/x-www-form-urlencoded в приведенном выше коде - запрос предварительно отображается в Firefox с запросом OPTIONS. Это не предзагружено в Chrome. Перед запуском откройте Fiddler, чтобы убедиться в этом:
makeXDomainRequest(URL, "POST", "name=foobar");
// alerts "Response! Hello CORS [...] You sent a POST request. Your name is foobar"
Вот предварительный запрос OPTIONS в Fiddler (обратите внимание на заголовок Access-Control-Request-Method: POST, хотя я указал предположительно безопасный Content-Type и никаких пользовательских заголовков):
OPTIONS http://ucommbieber.unl.edu/CORS/cors.php HTTP/1.1
Host: ucommbieber.unl.edu
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Origin: http://localhost
Access-Control-Request-Method: POST
Что происходит? Это ошибка в Firefox или я что-то не так делаю? Спасибо!