Что означает preflight и exposeHeaders?

Question

[vetsmen]

Доброго времени суток. Что означает preflight и exposeHeaders в данном коде:

const cors = corsMiddleware({
  preflightMaxAge: 5, //Optional 
  origins: ['http://api.myapp.com', 'http://web.myapp.com'],
  allowHeaders: ['API-Token'],
  exposeHeaders: ['API-Token-Expiry']
})

Ссылка на библиотеку тык

Answer 1

[Kovalsky]

W3C CORS

Comments

[vetsmen]

Смотрел, не очень понял, к чему эти значения и на что они влияют. Не могли бы подсказать?

[Kovalsky]

vetsmen, это всё базовые понятия для CORS. Если вы посмотрели документацию, потом поискали ключевые слова в гугле, по ссылкам из выдачи зашли на MDN, всё это прочитали и всё равно ничего не поняли, значит вы не вполне представляете себе что такое CORS. В таком случае стоит еще раз обратиться к MDN или другим обучалкам по CORS, т.к. определение preflight request на MDN мне кажется настолько элементарным, что я даже толком не могу придумать как это объяснить еще проще.

[vetsmen]

Никита Полевой, Искренне извиняюсь, очень плохо с английским

[vetsmen]

Никита Полевой, Я так понял, это когда клиент запрашивает сервер на возможность выполнения запроса, и количество попыток равно 5?

[Kovalsky]

CORS preflight request is a CORS request that checks to see if the CORS protocol is understood.

Unlike “simple requests” (discussed above), "preflighted" requests first send an HTTP request by the OPTIONS method to the resource on the other domain, in order to determine whether the actual request is safe to send. Cross-site requests are preflighted like this since they may have implications to user data.

Finally, Access-Control-Max-Age gives the value in seconds for how long the response to the preflight request can be cached for without sending another preflight request. In this case, 86400 seconds is 24 hours. Note that each browser has a maximum internal value that takes precedence when the Access-Control-Max-Age is greater.

Вроде эти цитатки всё проясняют. Также: max-age на W3C.