当前位置：首页 > news >正文

为什么POST请求经常发送两次？

news 2026/2/9 10:35:41

大多数初级前端程序员，在通过浏览器F12的调试工具调试网络请求时，可能都会有一个发现，在进行POST请求时，明明代码里只请求了一次，为什么network里发送了两次呢，难道我代码出bug了？带着疑问点开第一个请求才发现，原来第一个是OPTIONS类型的请求，第二个才是我代码里写的POST类型的请求。那为什么，POST请求之前默认伴随着一个OPTIONS请求呢？

我本人也是在第一份实际工作中，才发现了这个事情，带着疑问查询了一些资料，才知晓了其中缘由。在这个过程中也了解到了一些不常用的HTTP协议请求的方法以及它们的作用，比如OPTIONS。

公众号：Code程序人生，个人网站：https://creatorblog.cn

可能大多数程序员，职业生涯里，90%遇到和创造的接口都是GET和POST，秉持着"不用就不学"的原则，越来越多的HTTP协议的请求方法淡化在了大家视野里，自然在遇到的时候就不知道它是干啥的了。

背景

在Web开发中，我们经常会遇到跨域请求的问题。当前端应用试图从一个源（origin）上的Web页面访问另一个源上的资源时，浏览器会执行跨域请求，其中POST请求常常会伴随着两次发送：一次OPTIONS请求（CORS预检）和一次实际的POST请求。

为什么会有这两次请求？下文我们继续深入解释这个问题，逐步探究CORS预检的原因和机制。

什么是CORS（跨源资源共享）

CORS是一种浏览器的安全策略，用于控制一个源（domain、protocol、port的组合）的Web页面是否可以请求另一个源的资源。CORS通过在服务器响应头中添加特定的字段，告诉浏览器是否允许来自其他源的请求。

为什么POST请求需要CORS预检

POST请求通常用于向服务器提交数据，但由于安全性考虑，浏览器会限制跨域POST请求。在实际发送POST请求之前，浏览器会发送一个OPTIONS请求，以便确认目标服务器是否允许实际的POST请求。

GET请求一定不需要CORS预检吗

CORS预检是一种安全机制，用于控制跨域请求的访问权限。对于简单请求（Simple Requests），包括使用GET、HEAD、POST其中一种方法，且只使用了以下几种简单请求头（Simple Request Headers）的请求，浏览器会自动处理CORS，无需进行预检：

Accept
Accept-Language
Content-Language
Content-Type（仅限于 application/x-www-form-urlencoded、multipart/form-data、text/plain）

因此，GET请求通常不会触发CORS预检。只有当你的请求是跨域的、使用了非简单请求头、或者使用了不支持的HTTP方法时，才会触发CORS预检。对于非简单请求，浏览器会在实际请求之前发送一个OPTIONS请求，用来确认服务器是否支持跨域请求。而对于简单请求，浏览器会直接发送实际的GET请求，不需要进行预检。

CORS预检的过程

浏览器发送OPTIONS请求：

当浏览器发现一个跨域的POST请求时，它首先发送一个OPTIONS请求到目标服务器，这是CORS预检的开始。

服务器响应CORS头信息：

服务器接收到OPTIONS请求后，检查请求中的信息，并返回响应。响应中包含了CORS头信息，其中包括允许的HTTP方法、允许的请求头等。如果服务器返回的CORS头信息允许实际的POST请求，浏览器才会继续发送实际的POST请求。

服务端示例代码

在服务器端，你需要配置CORS，以允许来自特定源的POST请求。以下是Nodejs Express框架的示例：

const express = require('express');
const app = express();// 配置CORS，允许所有源的POST请求
app.use((req, res, next) => {res.header('Access-Control-Allow-Origin', '*'); // 允许所有源res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS'); // 允许的HTTP方法res.header('Access-Control-Allow-Headers', 'Content-Type'); // 允许的请求头next();
});// 实际的POST请求处理
app.post('/api/data', (req, res) => {// 处理POST请求的逻辑res.send('POST请求成功！');
});app.listen(3000, () => {console.log('服务器启动在端口 3000');
});

在上述代码中，通过配置Access-Control-Allow-Origin、Access-Control-Allow-Methods和Access-Control-Allow-Headers等响应头信息，服务器明确指定了允许的源、HTTP方法和请求头。

总结

POST请求发送两次的现象是因为浏览器在执行跨域的POST请求时，为了确保安全性，会发送一个OPTIONS请求进行CORS预检。服务器的CORS配置决定了是否允许实际的POST请求。理解CORS预检的过程，能够帮助我们更好地处理跨域请求问题，确保Web应用的安全性和稳定性。

为什么POST请求经常发送两次？

背景

什么是CORS（跨源资源共享）

为什么POST请求需要CORS预检

GET请求一定不需要CORS预检吗

CORS预检的过程

服务端示例代码

总结

相关文章：

为什么POST请求经常发送两次？

打破总分行数据协作壁垒，DataOps在头部股份制银行的实践｜案例研究

测试用例的设计方法（全）：边界值分析方法

酷开科技 | 酷开系统沉浸式大屏游戏更解压！

读高性能MySQL（第4版）笔记20_Performance Schema和其他

spring cloud Eureka集群模式搭建（IDEA中运行）《二》

大模型（LLM）在电商推荐系统的探索与实践

C语言之指针详解

【Java笔记+踩坑】设计模式——原型模式

Flutter GetX使用详解

【ARM Coresight 系列文章 3.3 - ARM Coresight SWD 协议详细介绍】

作为开发者，可视化开发工具了解一下

Python：实现日历功能

2.9.C++项目：网络版五子棋对战之业务处理模块的设计

springboot actuator 常用接口

知识点滴 - Email地址不区分大小写

同一个页面同一区域两个el-table在v-if下样式重叠问题

ExoPlayer架构详解与源码分析（6）——MediaPeriod

【开题报告】基于Spring Boot的课程在线预约系统的设计与实现

React Hooks还有哪些常用的用法？

Linux简单的操作

【磁盘】每天掌握一个Linux命令 - iostat

智能在线客服平台：数字化时代企业连接用户的 AI 中枢

macOS多出来了：Google云端硬盘、YouTube、表格、幻灯片、Gmail、Google文档等应用

Cinnamon修改面板小工具图标

解决本地部署 SmolVLM2 大语言模型运行 flash-attn 报错

用docker来安装部署freeswitch记录

JVM暂停（Stop-The-World，STW）的原因分类及对应排查方案

项目部署到Linux上时遇到的错误（Redis，MySQL，无法正确连接，地址占用问题）

CSS设置元素的宽度根据其内容自动调整