OPTIONS request method

OPTIONS *|<request-target>["?"<query>] HTTP/1.1

Das Anforderungsziel kann entweder in 'Sternchenform' * sein, was den gesamten Server angibt, oder ein Anforderungsziel, wie es bei anderen Methoden üblich ist:

*

Zeigt an, dass der Client OPTIONS für den gesamten Server anfordern möchte, im Gegensatz zu einer bestimmten benannten Ressource dieses Servers.

<request-target>

Identifiziert die Zielressource der Anfrage, wenn sie mit den Informationen im Host-Header kombiniert wird. Dies ist ein absoluter Pfad (z.B. /path/to/file.html) bei Anfragen an einen Ursprungsserver und eine absolute URL bei Anfragen an Proxys (z.B. http://www.example.com/path/to/file.html).

<query> Optional

Eine optionale Abfragekomponente, der ein Fragezeichen ? vorangestellt ist. Wird oft verwendet, um identifizierende Informationen in Form von key=value Paaren zu übermitteln.

Um herauszufinden, welche Anfragemethoden ein Server unterstützt, kann man das curl Kommandozeilenprogramm verwenden, um eine OPTIONS-Anfrage zu stellen:

curl -X OPTIONS https://example.org -i

Dies erzeugt die folgende HTTP-Anfrage:

OPTIONS / HTTP/2
Host: example.org
User-Agent: curl/8.7.1
Accept: */*

Die Antwort enthält einen Allow-Header, der die erlaubten Methoden enthält:

HTTP/1.1 204 No Content
Allow: OPTIONS, GET, HEAD, POST
Cache-Control: max-age=604800
Date: Thu, 13 Oct 2016 11:45:00 GMT
Server: EOS (lax004/2813)

In CORS wird eine Preflight-Anfrage mit der OPTIONS-Methode gesendet, damit der Server antworten kann, ob es akzeptabel ist, die Anfrage zu senden. In diesem Beispiel werden wir um Erlaubnis für diese Parameter bitten:

• Der im Preflight-Request gesendete Access-Control-Request-Method-Header teilt dem Server mit, dass bei der tatsächlichen Anfrage die POST-Anfragemethode verwendet wird.
• Der Access-Control-Request-Headers-Header teilt dem Server mit, dass bei der tatsächlichen Anfrage die Header X-PINGOTHER und Content-Type vorhanden sein werden.

OPTIONS /resources/post-here/ HTTP/1.1
Host: bar.example
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type,x-pingother

Der Server kann nun antworten, ob er eine Anfrage unter diesen Umständen akzeptiert. In diesem Beispiel sagt die Serverantwort, dass:

Access-Control-Allow-Origin

Der Ursprung https://foo.example darf die URL bar.example/resources/post-here/ mit den folgenden Methoden anfordern:

Access-Control-Allow-Methods

POST, GET und OPTIONS sind erlaubte Methoden für die URL. (Dieser Header ist dem Allow-Antwortheader ähnlich, wird jedoch nur für CORS verwendet.)

Access-Control-Allow-Headers

X-PINGOTHER und Content-Type sind zugelassene Anfrageheader für die URL.

Access-Control-Max-Age

Die oben genannten Berechtigungen dürfen für 86.400 Sekunden (1 Tag) zwischengespeichert werden.

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: https://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive

• HTTP-Anfragemethoden
• HTTP-Antwortstatuscodes
• HTTP-Header
• Allow-Header
• CORS