为什么我的POST请求没有发送自定义请求头?
我在用fetch发送POST请求时设置了请求头,但后端一直接收不到自定义的Authorization字段。简单GET请求没问题,但POST请求明明设置了headers参数,浏览器开发者工具里也显示请求头存在,但后端日志里完全没看到这个字段…
代码是这样的:
fetch('/api/data', {
method: 'POST',
headers: {
'Authorization': 'Bearer xyz123',
'Content-Type': 'application/json'
},
body: JSON.stringify({ key: 'value' })
})
.then(response => console.log(response.headers))
.catch(error => console.error('Error:', error));
试过把Content-Type去掉,或者把Authorization改成其他名字,结果还是不行。难道是浏览器自动过滤了某些头部?明明在Network面板里能看到请求头被发送了,但后端同事说根本没收到…
- 1
回答
19浏览
Postman发送JSON请求包含CSS样式字符串时返回400错误怎么办?
我在Postman里测试API时,发送POST请求的JSON数据里有一个字段需要包含CSS样式字符串,比如: body { background-color: #f0f0f0; font-family...
- 2
回答
26浏览
Postman发送JSON请求时,Body数据总是被转义怎么办?
在Postman测试接口时,我需要发送JSON格式的请求体,但发现Body里的双引号被自动转义成"了。比如输入{"name": "测试"},发送后服务器收到的是"name": "测试",导致接口报错。...
- 1
回答
64浏览
为什么Postman集合里的环境变量在循环请求时没生效?
我在用Postman集合测试接口时,给集合绑定了环境变量,但在循环发送请求时发现变量值没被替换,直接显示成{{var_name}}。比如我设置了baseURL变量,但请求地址还是原样。 尝试过在集合设...
- 1
回答
3浏览
React中POST请求为什么被CORS拦截?预检请求没发出去?
在React项目里用fetch发POST请求到第三方API时,浏览器突然报CORS错误。我明明设置了headers里的Content-Type为application/json,但控制台显示"Resp...
- 1
回答
31浏览
为什么Vue的POST请求触发OPTIONS预检却报403禁止访问?
我在Vue项目里用axios发POST请求给后端接口,控制台突然跳出CORS错误,显示OPTIONS请求返回了403。明明之前GET请求没问题啊,搞不懂为啥这次要先发OPTIONS? 代码就是简单的表...
- 1
回答
34浏览
Charles录制时Post请求的响应数据怎么没显示?
用Charles抓包调试接口时发现,发送的Post请求在Recording里能看到请求头和参数,但响应数据栏一直是空的。 我用fetch发送的POST请求是这样的: fetch('/api/...
- 2
回答
35浏览
为什么Vue请求带自定义头防CSRF时头信息被浏览器自动过滤了?
我在Vue项目里用axios发送POST请求时,按教程设置了X-Requested-With和自定义头,但后端收到的请求头里这两个字段完全消失了,这是什么情况? 代码是这样的: methods: { ...
- 2
回答
92浏览
stylelint为什么检测不到PostCSS自定义属性的拼写错误?
我在用PostCSS处理CSS变量时遇到问题,stylelint没有报错但明显变量名拼写错了。比如下面这段代码: <style> :root { --main-color: #ff6b6b...
- 1
回答
46浏览
Postman发送POST请求时,body里的JSON数据没传到后端怎么办?
在用Postman测试用户注册接口时,发现后端总是收到空对象... 我设置了请求体为raw JSON格式,参数写了 { "username": "test", "email": "test@examp...
- 2
回答
25浏览
为什么我的Fetch POST请求总是返回空对象?
我用Fetch发POST请求给后端,数据用JSON.stringify(data)处理了,也设置了Content-Type: application/json,但后端说收到的请求体是空的,返回空对象。...
在跨域的情况下,浏览器会先发送一个预检请求,也就是OPTIONS请求,来确认服务器是否允许你设置的这些自定义头部。如果你的服务器没有正确处理这个预检请求,或者没有明确允许
Authorization这个自定义头部,那么即使你在前端代码里设置了,浏览器也会把它过滤掉,不会真正发送到后端。解决方法分两步:前端和后端都要调整。
前端这边,你的代码本身没什么问题,但建议加上一个校验机制,确保请求头确实被设置成功了。比如这样:
重点在后端,你需要确保服务器正确配置了CORS响应头。具体来说,需要在服务器返回的响应头里添加以下内容:
-
Access-Control-Allow-Origin: 设置为允许的前端域名,比如https://your-frontend-domain.com,或者用*表示允许所有(但不推荐在生产环境这么做)。-
Access-Control-Allow-Headers: 这里必须明确包含你自定义的头部字段,比如Authorization。-
Access-Control-Allow-Methods: 确保包含POST方法。举个例子,如果你用的是Node.js和Express,可以这么写:
最后提醒一下,涉及到
Authorization这种敏感信息的头部字段,一定要注意安全性。不要在非HTTPS环境下传输这类数据,避免被中间人攻击窃取。另外,后端接收到Authorization头部后,记得做严格的校验,防止伪造或恶意请求。如果按照上面的方法调整后还是不行,可能是后端框架本身对请求头做了额外的限制,建议再仔细检查一下后端日志,看看有没有其他拦截规则在起作用。
当你在fetch里加了自定义头Authorization,浏览器会先发一个OPTIONS请求做安全校验。如果后端没有正确响应这个OPTIONS请求,后面的POST请求就不会真正发送,或者说后端根本没处理到你的自定义头。
你试试看在fetch里加一个 credentials: 'same-origin' 或者 '*',同时让后端设置好CORS响应头:
Access-Control-Allow-Origin: <你的域名>
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: Authorization
如果你用的是Node.js/Express后端,可以这样简单加个中间件:
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', '你的前端域名');
res.header('Access-Control-Allow-Headers', 'Authorization, Content-Type');
res.header('Access-Control-Allow-Credentials', 'true');
if (req.method === 'OPTIONS') {
res.header('Access-Control-Allow-Methods', 'GET, POST');
return res.status(200).json({});
}
next();
});
这个问题前端这块没法单独解决,得前后端配合把CORS和preflight的逻辑对齐。