Как избавится от CORS префлайта?

Question

[Vadim Ivanenko]

API и клиент находятся на разных хостах - api.domain.local и domain.local.
В каждом запросе к API я должен передавать токен. Создаю для этого кастомный заголовок Token.
Все запросы с этим заголовком выполняются с префлайтом (OPTIONS запрос), который уменьшает производительность.
Добавил в .htaccess след. строку:

Header add Access-Control-Allow-Origin "*"
Header add Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
Header add Access-Control-Allow-Headers "Token" #вот

Но клиент (Chrome, Angular, ngResource) все равно выполняет префлайт.

Если передавать токен в строке запроса, это может портить кеширование.
Хотелось бы передавать его в заголовках, но для этого нужно избавится от префлайта.

Answer 1

[Сергей Протько]

Создаю для этого кастомный заголовок Token.

Используйте стандартный Authorization... Хватит городить на пустом месте заголовки.

Но клиент (Chrome, Angular, ngResource) все равно выполняет префлайт.

Ну так как бы так работает CORS, на каждый запрос высылается запрос на подтверждение доступа. На каждый.

Хотелось бы передавать его в заголовках, но для этого нужно избавится от префлайта.

я не понимаю в чем проблема, просто не обрабатывайте на сервере префлайт запросы, разрешайте и закрывайте.

Comments

[Vadim Ivanenko]

Проблема в том, что клиент делает ненужный запрос, который обходится в 300-400 мс, и только потом основной запрос. Приложение работает в 2 раза медленнее из-за этого префлайта.
Что значит не обрабатывать? Если его вообще не обрабатывать, клиент получит ошибку 405 method not allowed и не выполнит основной запрос. На данный момент все OPTIONS запросы ко всем ресурсам у меня обрабатываются в методе базового контроллера таким образом (сам заголовок с разрешенными методами устанавливается в .htaccess)
{ return $this->response; }.

Мне нужно вообще исключить этот префлайт. Как бы быстро он не обрабатывался сервером, задержка в N мс все равно будет, а мне она не нужна.

[Сергей Протько]

Vadim Ivanenko: 300-400 мс? почему так долго? У меня такое ощущение что запрос добирается до самого приложения, хотя это дело можно разруливать еще на уровне web сервера, и тогда время запроса не будет превышать пинга к серверу. Скажем на моих проектах префлайт отдается за ~20-40 милисекунд при основном запросе в 100-200

[Vadim Ivanenko]

Сергей Протько: Да, приложение на зенде обрабатывало этот запрос. Сейчас обрабатываю его в точке входа if($_SERVER['REQUEST_METHOD'] == 'OPTIONS'){ exit;}
Можно ли его обработать еще раньше, без запуска PHP?

[Сергей Протько]

Vadim Ivanenko: можно, но не уверен как это сделать с апачем.