Flask 跨域问题

最新推荐文章于 2023-12-22 10:36:33 发布
最新推荐文章于 2023-12-22 10:36:33 发布
阅读量1.3k 收藏 7
点赞数 2
分类专栏: Flask Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglepeng/article/details/107685482
版权
Python 同时被 2 个专栏收录
77 篇文章 11 订阅
订阅专栏
Flask
14 篇文章 1 订阅
订阅专栏

一、什么是跨域

跨域是指:浏览器A服务器B获取的静态资源,包括Html、Css、Js,然后在Js中通过Ajax访问C服务器的静态资源或请求。即:浏览器A从B服务器拿的资源,资源中想访问服务器C的资源。

同源策略是指:浏览器A服务器B获取的静态资源,包括Html、Css、Js,为了用户安全,浏览器加了限制,其中的Js通过Ajax只能访问B服务器的静态资源或请求。即:浏览器A从哪拿的资源,那资源中就只能访问哪。

同源是指:同一个请求协议(如:Http或Https)、同一个Ip、同一个端口,3个全部相同,即为同源。

跨域的处理

W3C组织制定了一个Cross-Origin Resource Sharing规范,简写为Cors,现在这个规范已经被大多数浏览器支持,Cors 专门用来处理跨域的需求。

Cors需要在后端应用进行配置,因此,是一种跨域的后端处理方式,这么做也容易理解,一个你不认识的源来访问你的应用,自然需要应用进行授权。除了后端处理方式,也有前端的解决方案,如:JSONP,这里我们主要讲解Flask后端配置方案.

跨域的分类

跨域分为以下3种

名称英文名说明
简单请求Simple Request发起的Http请求符合:
1.无自定义请求头,只有Accept、Accept-Language、Content-Language、Last-Event-ID
2.请求动词为GET、HEAD或POST之一
3.动词为POST时,Content-Type是application/x-www-form-urlencoded,multipart/form-data或text/plain之一
复杂请求Preflighted Request发起的Http请求符合其中之一:
1.包含了自定义请求头
2.请求动词不是GET、HEAD或POST
3.动词是POST时, Content-Type不是application/x-www-form-urlencoded,multipart/form-data或text/plain。 即:简单请求的相反
凭证请求Requests with Credential发起的Http请求中带有凭证

简单请求

简单请求的发送从代码上来看和普通的XHR没太大区别,但是HTTP头当中要求总是包含一个域(Origin)的信息。该域包含协议名、地址以及一个可选的端口。不过这一项实际上由浏览器代为发送,并不是开发者代码可以触及到的。

简单请求的部分响应头如下:

  1. Access-Control-Allow-Origin(必含)。不填,请求按失败处理。该项控制数据的可见范围,如果希望数据对任何人都可见,可以填写"*"。
  2. Access-Control-Allow-Credentials(可选)。该项标志着请求当中是否包含cookies信息,只有一个可选值:true(必为小写)。如果不包含cookies,请略去该项,而不是填写false。这一项与XmlHttpRequest2对象当中的withCredentials属性应保持一致,即withCredentials为true时该项也为true;withCredentials为false时,省略该项不写。反之则导致请求失败。
  3. Access-Control-Expose-Headers(可选) – 该项确定XmlHttpRequest2对象当中getResponseHeader()方法所能获得的额外信息。通常情况下,getResponseHeader()方法只能获得如下的信息:(当你需要访问额外的信息时,就需要在这一项当中填写并以逗号进行分隔)
    1. Cache-Control
    2. Content-Language
    3. Content-Type
    4. Expires
    5. Last-Modified
    6. Pragma

如果仅仅是简单请求,那么即便不用CORS也没有什么大不了,但CORS的复杂请求就令CORS显得更加有用了。简单来说,任何不满足上述简单请求要求的请求,都属于复杂请求。比如说你需要发送PUT、DELETE等HTTP动作,或者发送Content-Type: application/json的内容。

复杂请求

复杂请求先发送一种"预请求",此时作为服务端,也需要返回"预回应"作为响应。预请求实际上是对服务端的一种权限请求,只有当预请求成功返回,实际请求才开始执行。预请求以OPTIONS形式发送,当中同样包含域,并且还包含了两项CORS特有的内容:

  1. Access-Control-Request-Method – 该项内容是实际请求的种类,可以是GET、POST之类的简单请求,也可以是PUT、DELETE等等。
  2. Access-Control-Request-Headers – 该项是一个以逗号分隔的列表,当中是复杂请求所使用的头部。

显而易见,这个预请求实际上就是在为之后的实际请求发送一个权限请求,在预回应返回的内容当中,服务端应当对这两项进行回复,以让浏览器确定请求是否能够成功完成。复杂请求的部分响应头及解释如下:

  1. Access-Control-Allow-Origin(必含) – 和简单请求一样的,必须包含一个域。
  2. Access-Control-Allow-Methods(必含) – 这是对预请求当中Access-Control-Request-Method的回复,这一回复将是一个以逗号分隔的列表。尽管客户端或许只请求某一方法,但服务端仍然可以返回所有允许的方法,以便客户端将其缓存。
  3. Access-Control-Allow-Headers(当预请求中包含Access-Control-Request-Headers时必须包含) – 这是对预请求当中Access-Control-Request-Headers的回复,和上面一样是以逗号分隔的列表,可以返回所有支持的头部。这里在实际使用中有遇到,所有支持的头部一时可能不能完全写出来,而又不想在这一层做过多的判断,没关系,事实上通过request的header可以直接取到Access-Control-Request-Headers,直接把对应的value设置到Access-Control-Allow-Headers即可。
  4. Access-Control-Allow-Credentials(可选) – 和简单请求当中作用相同。
  5. Access-Control-Max-Age(可选) – 以秒为单位的缓存时间。预请求的的发送并非免费午餐,允许时应当尽可能缓存。

一旦预回应如期而至,所请求的权限也都已满足,则实际请求开始发送。

目前大部分Modern浏览器已经支持完整的CORS,但IE直到IE11才完美支持,所以对于PC网站,还是建议采用其他解决方案,如果仅仅是移动端网站,大可放心使用。

Flask配置跨域

flask 配置cors 有两种方式,一种使用自带的cors,一种自定义返回头

第一种,自定义返回头

@app.after_request
def af_request(resp):     
    """
     #请求钩子,在所有的请求发生后执行,加入headers。
    :param resp:
    :return:
    """
    resp = make_response(resp)
    resp.headers['Access-Control-Allow-Origin'] = '*'
    resp.headers['Access-Control-Allow-Methods'] = 'GET,POST'
    resp.headers['Access-Control-Allow-Headers'] = 'x-requested-with,content-type'
    return resp

第二种,使用cors

Flask配Cors跨域,使用Flask-CORS包,详细文档,参见: https://flask-cors.readthedocs.io/en/latest/

flask-cors 也提供了两种方式:

方式

范围

说明

@cross_origin装饰器

配置单个路由

适用于配置特定的API接口

CORS函数

配置全局API接口

适用于全局的API接口配置

安装flask-cors

pip install flask-cors

第一种:使用@cross_origin装饰器

@app.route("/")
@cross_origin()
def helloWorld():
  return "Hello, cross-origin-world!"

CORS参数说明 

装饰器参数

类型

Head字段

说明

origins

列表、字符串或正则表达式

Access-Control-Allow-Origin

配置允许跨域访问的源,*表示全部允许

methods

列表、字符串

Access-Control-Allow-Methods

配置跨域支持的请求方式,如:GET、POST

expose_headers

列表、字符串

Access-Control-Expose-Headers

自定义请求响应的Head信息

allow_headers

列表、字符串或正则表达式

Access-Control-Request-Headers

配置允许跨域的请求头

supports_credentials

布尔值

Access-Control-Allow-Credentials

是否允许请求发送cookie,false是不允许

max_age

整数、字符串

Access-Control-Max-Age

预检请求的有效时长

第二种:使用CORS函数

#################### 应用全局配置 ####################
from flask_cors import *


app = Flask(__name__)
CORS(app, supports_credentials=True, resources=r"/*")

@app.route("/api/v1/users")
def list_users():
  return "user example"


#################### 单独Blueprints配置 ####################
api_v1 = Blueprint('API_v1', __name__)
CORS(api_v1) 

@api_v1.route("/api/v1/users/")
def list_users():
  return "user example"

CORS参数说明

参数

类型

Head字段

说明

resources

字典、迭代器或字符串

全局配置允许跨域的API接口

origins

列表、字符串或正则表达式

Access-Control-Allow-Origin

配置允许跨域访问的源,*表示全部允许

methods

列表、字符串

Access-Control-Allow-Methods

配置跨域支持的请求方式,如:GET、POST

expose_headers

列表、字符串

Access-Control-Expose-Headers

自定义请求响应的Head信息

allow_headers

列表、字符串或正则表达式

Access-Control-Request-Headers

配置允许跨域的请求头

supports_credentials

布尔值

Access-Control-Allow-Credentials

是否允许请求发送cookie,false是不允许

max_age

整数、字符串

Access-Control-Max-Age

预检请求的有效时长

注意:继承Resource类来写的RESTful-API接口

继承Resource类来写的RESTful-API接口不能使用上述办法。解决办法是在需要支持跨域请求的API类下,添加一个类方法options,就可以解决跨域问题

原因是跨域问题请求的时候,无论是POST请求还是PUT请求,前端都会优先发起一个OPTIONS请求确认请求允许范围.那么在解决跨域请求时,只需要在每个资源url中加入options请求方式,并返回适当的响应头信息就能解决跨域问题.

class YourAPI(Resource):
    def options(self):
        return {'Allow': '*'}, 200, {'Access-Control-Allow-Origin': '*',
                                     'Access-Control-Allow-Methods': 'HEAD, OPTIONS, GET, POST, DELETE, PUT',
                                     'Access-Control-Allow-Headers': 'Content-Type, Content-Length, Authorization, Accept, X-Requested-With , yourHeaderFeild',
                                     }

具体可配置参数解释:

  • Access-Control-Allow-Origin
    这个头部信息由服务器返回,用来明确指定那些客户端的域名允许访问这个资源。它的值可以是:

    -使用" * " —— 允许任意域名

    • 一个完整的域名名字(比如:https://example.com)

    如果你需要客户端传递验证信息到头部(比如:cookies)。这个值不能为 * —— 必须为完整的域名(这点很重要)。

  • Access-Control-Allow-Credentials
    这个头部信息只会在服务器支持通过cookies传递验证信息的返回数据里。它的值只有一个就是 true。跨站点带验证信息时,服务器必须要争取设置这个值,服务器才能获取到用户的cookie。

  • Access-Control-Allow-Headers
    提供一个逗号分隔的列表表示服务器支持的请求数据类型。假如你使用自定义头部(比如:x-authentication-token 服务器需要在返回OPTIONS请求时,要把这个值放到这个头部里,否则请求会被阻止)。

  • Access-Control-Expose-Headers
    相似的,这个返回信息里包含了一组头部信息,这些信息表示那些客户端可以使用。其他没有在里面的头部信息将会被限制(译者注:这个头信息实战中使用较少)。

  • Access-Control-Allow-Methods
    一个逗号分隔的列表,表明服务器支持的请求类型(比如:GET, POST)

  • Origin
    这个头部信息,属于请求数据的一部分。这个值表明这个请求是从浏览器打开的哪个域名下发出的。出于安全原因,浏览器不允许你修改这个值。

奔跑的大西吉
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flash跨域访问
01-21
<script type="text/javascript"> $(document).ready(function() { $.ajaxf.install('/Files/zsea/AJAX.swf'); $("#fdemo_get").click(function() { $.ajaxf.getText("http://www.youku.com/", '', function(r) { $("#fdemo").val(r); }); }); }); </script> <textarea id='fdemo' style='width: 500px; height: 300px;'></textarea> <br /> <input type="button" value="获取数据" id='fdemo_get' />
Flask框架解决跨域问题
m0_67448168的博客
09-26 471
同源策略是浏览器的一项安全策略,浏览器只允许js 代码请求和当前所在服务器域名,端口,协议相同的数据接口上的数据,这就是同源策略.也就是说,当协议、域名、端口任意一个不相同时,都会产生跨域问题,所以又应该如何解决跨域问题呢。CORS(app, supports_credentials=True) # 解决跨域问题flask db init # 初始化数据库,只执行一次。flask db migrate # 生成迁移文件。flask db upgrade # 执行迁移文件。# 创建同步数据库的对象。
flask框架初学-11-解决跨域问题
weixin_42724501的博客
08-16 3353
解决跨域问题
解决Flask跨域问题的几种方式
程序星空实验室
03-17 1万+
1.问题描述 当客户端向服务器端请求ajax服务时,如果客户端和服务器端域名不一致,就会出现跨域问题,ajax报错:No 'Access-Control-Allow-Origin' header is present on the requested 。 2.解决方式: (1)安装flask_cors: pip install flask_cors app初始化的时候就加载配置,如下 ...
Python flask跨域支持(Access-Control-Allow-Origin(CORS)跨域资源共享(访问控制允许来源:允许指定的来源进行跨域请求)浏览器同源策略、OPTIONS预检请求
Dontla的博客
07-05 1万+
此外,还可以使用CORS(跨域资源共享)机制来明确指定允许跨域请求的规则,以减少潜在的安全风险。要检测一个Flask接口是否支持跨域请求,可以使用浏览器的开发者工具来查看请求和响应的相关信息。,那么只有GET请求会进入到对应的视图函数中,而跨域请求则不受影响,仍然可以使用POST方法。如果该字段的值为具体的来源,表示只允许该来源的跨域请求。装饰器中指定了请求方法,那么只有匹配该请求方法的请求才会进入到对应的视图函数中。装饰器中指定的请求方法只会影响跨域请求的处理,不会影响到接口的请求方法。
flaskFlask解决跨域的问题
热门推荐
sysu_lluozh
11-16 3万+
跨域文件上传的时候,浏览器会自动发起一个 OPTIONS 方法到服务器,现在后台解决前端跨域解决前端跨域请求的问题客户端发起的这个 OPTIONS 可以说是一个“预请求”,用于探测后续真正需要发起的跨域 POST 请求对于服务器来说是否是安全可接受的,因为跨域提交数据对于服务器来说可能存在很大的安全问题请求头 Access-Control-Request-Method 用于提醒服务器在接下来的请求中
Flask 中的跨域难题:定义、影响与解决方案深度解析
qq_41586251的博客
12-11 1609
跨域(Cross-Origin)是指在浏览器中,一个页面的脚本试图访问另一个页面的内容时发生的安全限制。Flask 作为一种 Web 应用框架,也涉及到跨域问题。本文将详细介绍跨域的定义、影响以及解决方案,涵盖如何在 Flask 中处理跨域问题
Flask教程(十七)Flask跨域访问
08-31 708
软硬件环境windows 10 64bitanaconda3 with python 3.7pycharm 2020.1.2flask 1.1.2flask-restful 0.3.8f...
Flask解决接口跨域问题
最新发布
WwLK123的博客
12-22 1798
是一种浏览器安全策略,用于控制在一个网页应用中如何让一个域的Web页面能够请求另一个域的资源。在Web开发中,由于同源策略(Same-Origin Policy)的限制,一个网页只能请求同一域下的资源,而不能直接请求其他域下的资源。同源策略是浏览器为了增强安全性而采取的一项重要措施。然而,由于现代Web应用的发展,需要在不同域之间进行数据交互的情况也变得非常普遍。CORS机制被引入,以在一定程度上解除同源策略的限制,允许服务器指定哪些域可以访问其资源。
Python | Flask 解决跨域问题
qq_37144341的博客
04-06 4034
一.引入库 pip install flask-cors 二.配置 flask-cors 有两种用法,一种为全局使用,一种对指定的路由使用 1. 使用 CORS函数 配置全局路由 from flask import Flask, request from flask_cors import CORS app = Flask(__name__) CORS(app, supports_credentials=True) 其中 CORS 提供了一些参数帮助我们定制一下操作。 常用的我们可以配置 origi
Flash跨域访问
07-30
NULL 博文链接:https://can4you.iteye.com/blog/829419
5种处理js跨域问题方法汇总
10-25
本文汇总了解决js跨域问题的5种方法,除了最后一种使用flash解决跨域问题由于过于高端,没有做出介绍外,其余四种都做了下总结,这里推荐给有相同需求的小伙伴。
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
04-27
flash跨域访问策略。渗透测试时检查crossdomain.xml配置信息,应当重点检查allow-access-from=*、allow-http-request-headers-from=*、site-control=allow将会导致漏洞。特别注意参数为*和all,当站内没有cross...
flash跨域crossdomain
12-12
flash跨域crossdomain 设置项使用,直接可用允许全部跨域请求
python threading 结束线程
fenglepeng的博客
11-21 2万+
python threading 启动的线程,并没有提供终止线程的方法,现总结一下在网上找到的方法 1、通过threading.Thread._Thread__stop()结束线程 import time import threading def f(): while 1: time.sleep(0.1) print(1) t = thread...
kafka 异常:return ‘<SimpleProducer batch=%s>‘ % self.async ^ SyntaxError: invalid syntax
fenglepeng的博客
12-22 4595
Python3.X 执行Python编写的生产者和消费者报错,报错信息如下: Traceback (most recent call last): File "mykit_kafka_producer.py", line 9, in <module> from kafka import KafkaProducer File "/usr/local/lib/python3.7/site-packages/kafka/__init__.py", line 23, in <module&gt
Python 第三方模块之 numpy.linalg - 线性代数
fenglepeng的博客
03-31 2206
目录 numpy.linalg.det() 行列式 numpy.linalg.solve() 方程的解 numpy.linalg.inv()逆矩阵 np.linalg.eig 特征值和特征向量 np.linalg.svd 奇异值分解 np.linalg.pinv 广义逆矩阵(QR分解) numpy.linalg模块包含线性代数的函数。使用这个模块,可以计算逆矩阵、求特征值、解线性方...
Flask 第三方组件之 login
fenglepeng的博客
06-24 2119
在使用flask时,构建一个系统,用户登录注册是一个必不可少的过程,通常是使用Flask-Login模块。下面介绍使用Flask-Login登录注销,以及帮助大家解答一些可能比较常见的问题。 使用入门 首先,先概述下例子,有三个url,分别是: /auth/login 用于登录 /auth/logout用于注销 /test用于测试,需要登录才能访问 安装必要的库 pip install Flask==0.10.1 pip install Flask-Log...
Access-Control-Allow-Credentials
08-02
Access-Control-Allow-Credentials是一个用于解决跨域问题的HTTP响应头部字段。当跨域请求需要携带cookie时,需要在响应头中设置Access-Control-Allow-Credentials为true。同时,Access-Control-Allow-Origin也必须有明确的值,不能是通配符(*)。[1] 在前端向后端请求接口数据时,如果出现Access-Control-Allow-Credentials跨域问题,可以通过以下方法解决: 1. 在后端设置响应头Access-Control-Allow-Credentials为true,并指定Access-Control-Allow-Origin为请求的源地址。 2. 在前端的请求中,设置withCredentials为true,表示允许发送cookie。 3. 如果出现预检请求(Preflight),可以注释掉代码中的'Access-Control-Allow-Credentials': true这一行,以避免预检请求的发生。[2] 另外,还可以通过在前端的配置文件中进行代理设置来解决跨域问题。在config文件下的index.js中,可以配置proxyTable来将请求转发到后端的接口地址,并设置changeOrigin为true,表示允许跨域请求。[3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值