Django 之 跨域问题

最新推荐文章于 2024-04-19 10:19:15 发布
最新推荐文章于 2024-04-19 10:19:15 发布
阅读量299 收藏
点赞数 1
分类专栏: Django 文章标签: django 跨域 cors-headers
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linwow/article/details/95088603
版权

同源策略

因为浏览器的同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于跨域了,这里说的跨域是广义跨域,我们常说的代码中请求跨域,是狭义的跨域,即在脚本代码中向非同源域发送http请求

浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(跨站脚本攻击 cross site scripting)和CSRF(跨站请求伪造cross-site request forgery)等攻击。

同源:同源是指协议,域名,端口完全相同。

不同源:协议,域名,端口只要有一项不相同,下面的任意一种都是不同源的。

协议不同:
http://www.example.com/index.do
https://www.example.com/login.do
域名不同:
https://www.example.com/index.do
https://wow.example.com/login.do
https://www.test.com/login.do
端口不同:
http://www.example.com:80/index.do
http://www.example.com:8080/login.do

两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

1、请求方法是以下三种方法之一:HEAD、GET、POST
2、HTTP的头信息不超出以下几种字段:Accept、Accept-Language、Content-Language、 Last-Event-ID、Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain

凡是不同时满足上面两个条件,就属于非简单请求,浏览器对这两种请求的处理,是不一样的。

简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequestonerror回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUTDELETE,或者Content-Type字段的类型是application/json

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。
Access-Control-Allow-Origin字段是每次回应都必定包含的。

参考博客 :http://www.ruanyifeng.com/blog/2016/04/cors.html

解决跨域问题

JSONP

不仅限于python,所有的GET请求都可以使用jsonp实现跨域

使用Ajax获取json数据时,存在跨域的限制。不过,在Web页面上调用js的script脚本文件时却不受跨域的影响,JSONP就是利用这个来实现跨域的传输。因此,我们需要将Ajax调用中的dataType从JSON改为JSONP(相应的API也需要支持JSONP)格式。

JSONP只能用于GET请求。

修改响应

在响应头加上响应的允许跨域的参数,告诉浏览器当前请求被服务器接受,这种跨域方式也是通用的。

例如可以自定义中间件,在中间件中重写process_response并在response中添加允许跨域的参数。

class MyCorsMiddle(MiddlewareMixin):
    def process_response(self, request, response):
        if request.method == 'OPTIONS':
            # 允许以下请求头和请求源、请求方式
            response['Access-Control-Allow-Headers'] = 'Content-Type'
            response['Access-Control-Allow-Methods']='GET,POST'
            # 允许所有的请求头和请求源、请求方式
            # response['Access-Control-Allow-Headers'] = '*'
            # response['Access-Control-Allow-Methods'] = '*'
        response['Access-Control-Allow-Origin']='http://127.0.0.1:8000'
        # response['Access-Control-Allow-Origin'] = '*'
        return response
    
settings.py文件中配置
MIDDLEWARE = [
    'app01.MyMiddle.MyCorsMiddle',
    ... ...
]

注意:以上配置是在要被跨域访问的后端添加。

第三方模块django-cors-headers

安装django-cors-headers:

pip3 install django-cors-headers

在settings.py中增加:

# 应用中注册
INSTALLED_APPS = [
  ...
  'corsheaders',
  ...
]
...
# 中间件注册
MIDDLEWARE_CLASSES = [
  ...
  'corsheaders.middleware.CorsMiddleware',
  'django.middleware.common.CommonMiddleware',
  ...
]
记得这个中间件一定要写在CSRF之前,为了方便处理,一般写在最前面

设置CORS_ORIGIN_ALLOW_ALL = True,即允许所有的跨域请求,当然,这里也可以设置为False,然后配合 CORS_ORIGIN_WHITELIST 白名单来使用。

具体用法可以参考:https://github.com/ottoyiu/django-cors-headers

LinWoW
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot 使用Cross-Origin Resource Sharing(CORS)解决前后端分离后的跨域问题
qianye的博客
01-23 8689
一、什么是跨域 跨域,指的是浏览器不能执行其他网站的脚本,是由浏览器的同源策略造成的,是浏览器施加的安全限制。所谓同源是指,域名,协议,端口均相同。 例如: http://127.0.0.1:8850/test/index.html 调用 http://127.0.0.1:8850/test/server (非跨域) http://127.0.0.1:8850/test/index.html ...
springboot通过CORS(cross-origin resourse sharing 跨域资源共享)解决跨域问题
qq_40820916的博客
07-07 675
源 简单来说,源就是指协议,域名端口号,所谓同源就是协议相同,域名相同,端口号相同,以下举个例子: 对于 http://www.aa.com/test/index.html 判断是否同源(协议为http协议,域名为www.aa.com,端口号为80(默认,可以省略)) 1、http://www.aa.com/bb/index.html ——同源; 2、http://www.baidu.aa.com/bb/index.html ——非同源,域名一致; 3、https://www.aa.com/bb/ind
Djange解决跨域问题
林仔520的博客
04-19 612
Django 中解决跨域资源共享(CORS)问题,通常涉及到后端接受来自不同域的前端请求。为了安全起见,浏览器限制了脚本内跨域 HTTP 请求,这就需要后端明确允许某些类型的跨域请求。在 Django 项目中,这通常通过使用中间件来配置 CORS 头信息实现。一个常用的方式是使用包来简化这一过程。
给自己的django项目配置域名
西门大盗 捉虫专家
03-30 4356
比如,现在你的django项目已经在服务器上面运行,那么如何配置一个域名,然后通过域名来访问项目呢? 第一步:购买域名 阿里云、腾讯云等云平台都可以注册、购买域名。 购买后需要实名认证(上传身份证)、DNS解析。 .com类型的域名是在国外的不需要备案。而.cn的域名需要国内备案的可能需要1-3天。 第二部:域名解析 域名解析:就是将你的域名与你的服务器的ip地址绑定。 可以在你的云平台上面完成。 这里以腾讯云后台的域名解析为例,在完成了以上的各个环节后,你会来到这个页面, 以上说明
SpringBoot解决跨域访问的问题
无边热爱,来日方长
06-05 2364
SpringBoot解决跨域访问的问题
Spring Boot:如何解决跨域问题 ?
琦彦
04-07 2万+
跨域问题现象 been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource 上面的意思就是 你访问一个什么地址被CORS 协议阻止, 没有 在Hearder 里面发现 Access-Control-Allow-Origin 的参数的 资源 跨域问题分析 跨域问题的原因:浏览器出于安全考虑,限制访问本站点以为的资源。 比如你有一个 网站 127..
django解决跨域请求的问题
09-19
主要介绍了django解决跨域请求的问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
django解决跨域请求的问题详解
12-25
解决方案 1.安装django-cors-headers pip install django-cors-headers 2.配置settings.py文件 INSTALLED_APPS = [ ... 'corsheaders', ... 'corsheaders.middleware....#跨域增加忽略 CORS_ALLOW_CREDENTIALS
django基于cors解决跨域请求问题详解
09-18
主要介绍了django基于cors解决跨域请求问题详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Django实现跨域请求过程详解
09-18
主要介绍了Django实现跨域请求过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring 3.1 MVC REST 支持之跨域访问(Cross-origin resource sharing)
hyman.xie的专栏
08-01 3万+
关于跨域资源访问请参考 http://en.wikipedia.org/wiki/Cross-origin_resource_sharing ,基本原理是在Spring Controller的每一个请求返回的时候都加上Access-Control-...header需要注意的是并不是所有的浏览器都支持这些header,使用之前要先了解清楚。 实现起来也很简单那就是Interceptor,代码如
Springboot后端CORS跨域资源共享
comecny的博客
08-16 617
跨域
spring boot项目如何设置全局跨域配置
qq_43411729的博客
07-07 956
跨域配置
【已解决】已拦截跨域请求:同源策略禁止读取位于接口的远程资源:原因:CORS缺少Access-Contorl-Allow-Origin
~牧马~
11-12 1万+
前后端开发跨域问题问题记录前端新手配置:有问题老手配置:正常后端新手配置:有问题老手配置:正常总结 问题记录 今天笔者有一次遇到前后端跨域问题,下面小编详细的记录下整个过程: 环境是:后端在公司,前端在远程,两人协同开发 后端写好接口,并发布在外网后,接下来就是远程前端的对接接口阶段,前端在配置接口时,配置成功,在测试访问时,浏览器报“已拦截跨域请求:同源策略禁止读取位于接口的远程资源:原因:CORS缺少Access-Contorl-Allow-Origin”问题,错误提示是“cors跨域问题”,后端看到只
Firebug: 已拦截跨源请求:同源策略禁止读取位于XXX的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-
热门推荐
xlxxcc的专栏
01-18 10万+
第一种,就是在被请求的程序中添加HTTP头,即CORS跨域跨域资源共享,Cross-Origin Resource Sharing)如: Response.Headers.Add("Access-Control-Allow-Origin", "*"); // JSON { 'Access-Control-Allow-Origin': '*', } // HTML <meta http-equ
已拦截跨源请求:同源策略禁止读取位于 http://请求地址schoolUser/getTelecomNetWorkNumber 的远程资源。(原因:CORS 头缺少 'Ac
qq_43732387的博客
01-07 1万+
已拦截跨源请求:同源策略禁止读取位于 http://请求地址:8081/schoolUser/getTelecomNetWorkNumber 的远程资源。如何解决。 这种跨源请求禁止读取的原因是:CORS 头缺少 'Access-Control-Allow-Origin',所以在要请求的接口上加上 //解决跨域请求问题 response.setHeader("Access-Control-A...
跨域问题】火狐浏览器报错:已拦截跨源请求:同源策略禁止读取位于...的远程资源(CORS 请求不是 http)
qq_51066068的博客
04-30 6393
访问本地文件,居然也报这个错。。。错误提示如下: 解决方法: 第一步:地址栏输入:about:config,回车,点击”接受风险并继续”后进入页面 第二步:搜索:security.fileuri.strict_origin_policy,并设置该项为false 改为false后如下图: 本文链接:火狐浏览器报错:已拦截跨源请求:同源策略禁止读取位于...的远程资源(CORS 请求不是 http)_咕噜oo的博客-CSDN博客_已拦截跨源请求:同源策略禁止读.....
django跨域问题404
最新发布
05-30
Django跨域问题通常会返回404错误。这是因为浏览器的同源策略导致不能直接从一个域名的网页访问另一个域名的资源。如果你的Django项目中使用了AJAX来请求另一个域名的资源,浏览器就会拒绝这个请求,从而返回404错误...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值