OPTIONS 메소드는 해당 origin의 허용된 comunication 옵션이 무엇이 있는지 확인하기 위해 사용한다.
| Request body | ❌ |
|---|---|
| Response body | ⭕ |
| safe | ⭕ |
| idempotent | ⭕ |
| cacheable | ❌ |
| form in HTML | ❌ |
OPTIONS은 우선 해당 URL에서 어떤 METHOD가 허용되는지 확인하는데 사용된다.
외부 리소스에 대한 요청을 할 때, 어떤 요청이 가능한지 확인하는 사전 요청을 보내게 된다. 이것이 preflight이다. 이 사전요청에 OPTIONS메소드를 이용한다. 다음 예를 통해 확인해보자
OPTIONS /resources/post-here/ HTTP/1.1
Host: bar.example
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: <https://foo.example>
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
OPTIONS 메소드로 /resources/post-here URL에 요청했다. Access-Control-Request-Method 가 POST 인 것을 통해 POST 요청이 갈 것이라고 실제 요청을 보내기전에 알려준다. 또한, Access-Control-Request-Headers를 통해 요청의 Header가 Content-Type 일 것이라고 알려준다.
HTTP/1.1 204 No Content
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: <https://foo.example>
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Access-Control-Allow-Origin : 서버의 origin 도메인 이름이다.
Access-Control-Allow-Methods : 요청 가능한 method를 보여준다.
Access-Control-Allow-Headers : 요청 가능한 header를 보여준다
Access-Control-Max-Age : 해당 요청이 86400초 캐싱된다는 의미다.(1일)