django基于cors解决跨域请求问题详解


Posted in Python onAugust 06, 2019

一 同源策略

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现

请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同.

比如:我在本地上的域名是127.0.0.1:8000,请求另外一个域名:127.0.0.1:8001一段数据

浏览器上就会报错,这个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险

已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:8001/SendAjax/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

但是注意,项目2中的访问已经发生了,说明是浏览器对非同源请求返回的结果做了拦截

二 CORS(跨域资源共享)简介

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信

三 CORS基本流程

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

浏览器发出CORS简单请求,只需要在头信息之中增加一个Origin字段。

浏览器发出CORS非简单请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

四 CORS两种请求详解

只要同时满足以下两大条件,就属于简单请求。

(1)请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。

浏览器对这两种请求的处理,是不一样的。

* 简单请求和非简单请求的区别?

 简单请求:一次请求
 非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
* 关于“预检”

- 请求方式:OPTIONS
- “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息
- 如何“预检”
  => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过
  Access-Control-Request-Method
  => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过
  Access-Control-Request-Headers

支持跨域,简单请求

服务器设置响应头:Access-Control-Allow-Origin = '域名' 或 '*'

支持跨域,复杂请求

由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。

  • “预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
  • “预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers

五 Django项目中支持CORS

在返回的结果中加入允许信息(简单请求)

def test(request):
 import json
 obj=HttpResponse(json.dumps({'name':'lqz'}))
 # obj['Access-Control-Allow-Origin']='*'
 obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
 return obj

放到中间件处理复杂和简单请求:

from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
 def process_response(self,request,response):
  if request.method=="OPTIONS":
   #可以加*
   response["Access-Control-Allow-Headers"]="Content-Type"
  response["Access-Control-Allow-Origin"] = "http://localhost:8080"
  return response

六 利用django-cors-headers模块处理

1.安装cors模块

pip install django-cors-headers

2.修改setting.py中配置

INSTALLED_APPS = [
 'django.contrib.admin',
 'django.contrib.auth',
 'django.contrib.contenttypes',
 'django.contrib.sessions',
 'django.contrib.messages',
 'django.contrib.staticfiles', 
 'corsheaders',
]
MIDDLEWARE_CLASSES = [
 'django.middleware.security.SecurityMiddleware',
 'django.contrib.sessions.middleware.SessionMiddleware', 
 'corsheaders.middleware.CorsMiddleware', 
 'django.middleware.common.CommonMiddleware',
 'django.middleware.csrf.CsrfViewMiddleware',
 'django.contrib.auth.middleware.AuthenticationMiddleware',
 'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
 'django.contrib.messages.middleware.MessageMiddleware',
 'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

3.添加允许访问的白名单,凡是出现在白名单的域名都可以访问后端接口

CORS_ORIGIN_WHITELIST = (
 '127.0.0.1:8080',
 'localhost:8080',
)
CORS_ALLOW_CREDENTIALS = True # 指明在跨域访问中,后端是否支持对cookie的操作。
CORS_ALLOW_METHODS = (
 'DELETE',
 'GET',
 'OPTIONS',
 'PATCH',
 'POST',
 'PUT',
 'VIEW',
)
CORS_ALLOW_HEADERS = (
 'XMLHttpRequest',
 'X_FILENAME',
 'accept-encoding',
 'authorization',
 'content-type',
 'dnt',
 'origin',
 'user-agent',
 'x-csrftoken',
 'x-requested-with',
 'Pragma',
)

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
python socket多线程通讯实例分析(聊天室)
Apr 06 Python
python魔法方法-属性访问控制详解
Jul 25 Python
Python调用C语言的方法【基于ctypes模块】
Jan 22 Python
对python中的for循环和range内置函数详解
Apr 17 Python
Flask入门之上传文件到服务器的方法示例
Jul 18 Python
python3 实现对图片进行局部切割的方法
Dec 05 Python
想学python 这5本书籍你必看!
Dec 11 Python
Django中如何防范CSRF跨站点请求伪造攻击的实现
Apr 28 Python
使用pyqt5 tablewidget 单元格设置正则表达式
Dec 13 Python
解决Django no such table: django_session的问题
Apr 07 Python
总结Python连接CS2000的详细步骤
Jun 23 Python
详解Python如何批量采集京东商品数据流程
Jan 22 Python
django组合搜索实现过程详解(附代码)
Aug 06 #Python
使用Python自动生成HTML的方法示例
Aug 06 #Python
Django RBAC权限管理设计过程详解
Aug 06 #Python
python虚拟环境完美部署教程
Aug 06 #Python
python批量图片处理简单示例
Aug 06 #Python
Python实用库 PrettyTable 学习笔记
Aug 06 #Python
浅谈django2.0 ForeignKey参数的变化
Aug 06 #Python
You might like
哪吒敖丙传:新人物二哥敖乙出场 小敖丙奶气十足
2020/03/08 国漫
在Windows版的PHP中使用ADO
2006/10/09 PHP
APACHE的AcceptPathInfo指令使用介绍
2013/01/18 PHP
php判断并删除空目录及空子目录的方法
2015/02/11 PHP
Yii1.1框架实现PHP极光推送消息通知功能
2018/09/06 PHP
LBS blog sql注射漏洞[All version]-官方已有补丁
2007/08/26 Javascript
js模拟C#中List的简单实例
2014/03/06 Javascript
javascript回车完美实现tab切换功能
2014/03/13 Javascript
js实现局部页面打印预览原理及示例代码
2014/07/03 Javascript
JQuery报错Uncaught TypeError: Illegal invocation的处理方法
2015/03/13 Javascript
javascript 实现map集合
2015/04/03 Javascript
JavaScript多并发问题如何处理
2015/10/28 Javascript
倾力总结40条常见的移动端Web页面问题解决方案
2016/05/24 Javascript
浅谈JSON.stringify()和JOSN.parse()方法的不同
2016/08/29 Javascript
详解JavaScript数组过滤相同元素的5种方法
2017/05/23 Javascript
JS中min函数实例讲解
2019/02/18 Javascript
python将图片文件转换成base64编码的方法
2015/03/14 Python
python使用xlrd模块读写Excel文件的方法
2015/05/06 Python
简单讲解Python中的数字类型及基本的数学计算
2016/03/11 Python
Python 模拟购物车的实例讲解
2017/09/11 Python
对python程序内存泄漏调试的记录
2018/06/11 Python
django2用iframe标签完成网页内嵌播放b站视频功能
2018/06/20 Python
python实现文件批量编码转换及注意事项
2019/10/14 Python
Django用户登录与注册系统的实现示例
2020/06/03 Python
一文彻底解决HTML5页面中长按保存图片功能
2019/06/10 HTML / CSS
番木瓜健康和保健产品第一大制造商:Herbal Papaya
2017/04/25 全球购物
中国跨境在线时尚零售商:Bellelily
2018/04/06 全球购物
Fanatics官网:运动服装、球衣、运动装备
2020/10/12 全球购物
硕士研究生求职自荐信范文
2014/03/11 职场文书
人大代表选举标语
2014/10/07 职场文书
2015年元旦文艺晚会总结(学院)
2014/11/28 职场文书
承诺函格式模板
2015/01/21 职场文书
感谢信格式范文
2015/01/22 职场文书
专家推荐信怎么写
2015/03/25 职场文书
三傻大闹宝莱坞观后感
2015/06/03 职场文书
2016年全国爱牙日宣传活动总结
2016/04/05 职场文书