django基于cors解决跨域请求问题详解


Posted in Python onAugust 06, 2019

一 同源策略

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现

请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同.

比如:我在本地上的域名是127.0.0.1:8000,请求另外一个域名:127.0.0.1:8001一段数据

浏览器上就会报错,这个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险

已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:8001/SendAjax/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

但是注意,项目2中的访问已经发生了,说明是浏览器对非同源请求返回的结果做了拦截

二 CORS(跨域资源共享)简介

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信

三 CORS基本流程

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

浏览器发出CORS简单请求,只需要在头信息之中增加一个Origin字段。

浏览器发出CORS非简单请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

四 CORS两种请求详解

只要同时满足以下两大条件,就属于简单请求。

(1)请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。

浏览器对这两种请求的处理,是不一样的。

* 简单请求和非简单请求的区别?

 简单请求:一次请求
 非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
* 关于“预检”

- 请求方式:OPTIONS
- “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息
- 如何“预检”
  => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过
  Access-Control-Request-Method
  => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过
  Access-Control-Request-Headers

支持跨域,简单请求

服务器设置响应头:Access-Control-Allow-Origin = '域名' 或 '*'

支持跨域,复杂请求

由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。

  • “预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
  • “预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers

五 Django项目中支持CORS

在返回的结果中加入允许信息(简单请求)

def test(request):
 import json
 obj=HttpResponse(json.dumps({'name':'lqz'}))
 # obj['Access-Control-Allow-Origin']='*'
 obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
 return obj

放到中间件处理复杂和简单请求:

from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
 def process_response(self,request,response):
  if request.method=="OPTIONS":
   #可以加*
   response["Access-Control-Allow-Headers"]="Content-Type"
  response["Access-Control-Allow-Origin"] = "http://localhost:8080"
  return response

六 利用django-cors-headers模块处理

1.安装cors模块

pip install django-cors-headers

2.修改setting.py中配置

INSTALLED_APPS = [
 'django.contrib.admin',
 'django.contrib.auth',
 'django.contrib.contenttypes',
 'django.contrib.sessions',
 'django.contrib.messages',
 'django.contrib.staticfiles', 
 'corsheaders',
]
MIDDLEWARE_CLASSES = [
 'django.middleware.security.SecurityMiddleware',
 'django.contrib.sessions.middleware.SessionMiddleware', 
 'corsheaders.middleware.CorsMiddleware', 
 'django.middleware.common.CommonMiddleware',
 'django.middleware.csrf.CsrfViewMiddleware',
 'django.contrib.auth.middleware.AuthenticationMiddleware',
 'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
 'django.contrib.messages.middleware.MessageMiddleware',
 'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

3.添加允许访问的白名单,凡是出现在白名单的域名都可以访问后端接口

CORS_ORIGIN_WHITELIST = (
 '127.0.0.1:8080',
 'localhost:8080',
)
CORS_ALLOW_CREDENTIALS = True # 指明在跨域访问中,后端是否支持对cookie的操作。
CORS_ALLOW_METHODS = (
 'DELETE',
 'GET',
 'OPTIONS',
 'PATCH',
 'POST',
 'PUT',
 'VIEW',
)
CORS_ALLOW_HEADERS = (
 'XMLHttpRequest',
 'X_FILENAME',
 'accept-encoding',
 'authorization',
 'content-type',
 'dnt',
 'origin',
 'user-agent',
 'x-csrftoken',
 'x-requested-with',
 'Pragma',
)

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Python 相关文章推荐
深入Python解释器理解Python中的字节码
Apr 01 Python
Python3 socket同步通信简单示例
Jun 07 Python
python绘制直线的方法
Jun 30 Python
利用python循环创建多个文件的方法
Oct 25 Python
利用python和ffmpeg 批量将其他图片转换为.yuv格式的方法
Jan 08 Python
Python计算时间间隔(精确到微妙)的代码实例
Feb 26 Python
Django框架下静态模板的继承操作示例
Nov 08 Python
Kears 使用:通过回调函数保存最佳准确率下的模型操作
Jun 17 Python
keras在构建LSTM模型时对变长序列的处理操作
Jun 29 Python
Python 实现一个简单的web服务器
Jan 03 Python
Python3中的tuple函数知识点讲解
Jan 03 Python
python 列表推导和生成器表达式的使用
Feb 01 Python
django组合搜索实现过程详解(附代码)
Aug 06 #Python
使用Python自动生成HTML的方法示例
Aug 06 #Python
Django RBAC权限管理设计过程详解
Aug 06 #Python
python虚拟环境完美部署教程
Aug 06 #Python
python批量图片处理简单示例
Aug 06 #Python
Python实用库 PrettyTable 学习笔记
Aug 06 #Python
浅谈django2.0 ForeignKey参数的变化
Aug 06 #Python
You might like
php计算数组不为空元素个数的方法
2014/01/27 PHP
浅析PHP中的闭包和匿名函数
2017/12/25 PHP
如何在标题栏显示框架内页面的标题
2007/02/03 Javascript
JavaScript 学习技巧
2010/02/17 Javascript
div+css布局的图片连续滚动js实现代码
2010/05/04 Javascript
JavaScript随机排序(随即出牌)
2010/09/17 Javascript
教您去掉ie网页加载进度条的方法
2010/12/09 Javascript
jquery zTree异步加载简单实例分享
2013/02/05 Javascript
js借助ActiveXObject实现创建文件
2013/09/29 Javascript
jQuery aminate方法定位到页面具体位置
2013/12/26 Javascript
js实现图片和链接文字同步切换特效的方法
2015/02/20 Javascript
jQuery实现将页面上HTML标签换成另外标签的方法
2015/06/09 Javascript
javascript中递归函数用法注意点
2015/07/30 Javascript
微信小程序实现给循环列表添加点击样式实例
2017/04/26 Javascript
vuedraggable+element ui实现页面控件拖拽排序效果
2020/07/29 Javascript
nodejs脚本centos开机启动实操方法
2020/03/04 NodeJs
javaScript实现一个队列的方法
2020/07/14 Javascript
Python装饰器使用示例及实际应用例子
2015/03/06 Python
Python NumPy库安装使用笔记
2015/05/18 Python
python中pygame针对游戏窗口的显示方法实例分析(附源码)
2015/11/11 Python
Python使用pylab库实现画线功能的方法详解
2017/06/08 Python
Python人脸识别初探
2017/12/21 Python
python中多个装饰器的执行顺序详解
2018/10/08 Python
Django Celery异步任务队列的实现
2019/07/24 Python
Linux下升级安装python3.8并配置pip及yum的教程
2020/01/02 Python
如何使用python socket模块实现简单的文件下载
2020/09/04 Python
用Python 执行cmd命令
2020/12/18 Python
HTML5为输入框添加语音输入功能的实现方法
2017/02/06 HTML / CSS
canvas之自定义头像功能实现代码示例
2017/09/29 HTML / CSS
The North Face北面法国官网:美国著名户外品牌
2019/11/01 全球购物
主管竞聘书范文
2014/03/31 职场文书
水污染治理工程专业自荐信
2014/06/21 职场文书
2014年预备党员学习新党章思想汇报
2014/09/15 职场文书
《自己的花是让别人看的》教学反思
2016/02/19 职场文书
golang生成vcf通讯录格式文件详情
2022/03/25 Golang
PHP面试题 wakeup魔法 Ezpop pop序列化与反序列化
2022/04/11 PHP