跨域问题与Django解决方案:深入解析跨域原理、请求处理与CSRF防护

已于 2024-06-07 08:33:27 修改
阅读量1.2k 收藏 13
点赞数 16
分类专栏: Web python Django 文章标签: django csrf sqlite python
于 2024-06-04 07:33:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48173416/article/details/139402279
版权
python 同时被 3 个专栏收录
39 篇文章 4 订阅
订阅专栏
Web
34 篇文章 4 订阅
订阅专栏
Django
26 篇文章 2 订阅
订阅专栏

在这里插入图片描述

系列文章目录

文章目录

前言

    跨域问题在Web开发中如影随形,而Django框架为我们提供了解决方案。本文将解析跨域原理,并介绍Django中处理跨域请求与CSRF防护的策略,助您轻松应对挑战。

跨域报错:Access to XMLHttpRequest at ‘http://127.0.0.1:8000/’ from origin ‘http://localhost:8080’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

在这里插入图片描述

一、为什么会出现跨域?

出于浏览器的同源策略限制。
同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)

二、什么是跨域

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

当前页面url被请求页面url是否跨域原因
http://www.baidu.comhttp://www.baidu.com/index.html同源(协议、域名、端口号相同)
http://www.baidu.comhttps://www.baidu.com/index.html跨域协议不同(http / https)
http://www.baidu.comhttp://www.google.com跨域主域名不同(baidu / google)
http://www.baidu.comhttp://blog.baidu.com跨域子域名不同(www / blog)
http://www.baidu.com: 8080/http://www.baidu.com:8888/跨域端口号不同(8080 / 8888)

三、跨域请求解决办法(Django)

3.1 安装第三方扩展:

pip install django-cors-headers

3.2 修改配置信息–setting.py:

注册corsheaders:

# settings.py
INSTALLED_APPS = (
 ...
 'corsheaders',
 ...
 )

添加中间件 — settings.py:

注意放在第一条,第一时间进行处理:

# settings.py
MIDDLEWARE = [
      # 添加跨域中间件
    'corsheaders.middleware.CorsMiddleware',
    
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',  
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',  # 关闭csrf验证
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

配置参数 settings.py,允许所有源访问:

# settings.py
CORS_ORIGIN_ALLOW_ALL = True

3.3 配置访问规则或白名单:

# settings.py
允许所有域名跨域(优先选择)
CORS_ORIGIN_ALLOW_ALL = True

# 配置白名单
# CORS_ORIGIN_WHITELIST = (
#     '*'
#     # '127.0.0.1:8000',
#     # 'localhost:8000',
#     # '127.0.0.1:8080',
#     # 'localhost:8080',
#'ads-cms-api.aataotao.com:8000'
#'taoduoduo-test.oss-cn-#shenzhen.aliyuncs.com:80',  # 线上
# #'10.0.2.187:8080'  # 本地
#)

3.4 跨域Cookie配置

允许django响应Cookie:

# settings.py
CORS_ALLOW_CREDENTIALS = True

在前端发起ajax请求的时候,请求中需要配置:

xhrFields:{withCredentials:true},  与后端跨域配合设置,配置允许前端携带cookie

3.5 前端代码示例:

首先在html中引入jquery源码,配置ajax:

<script src="js/jquery-2.2.0.min.js"></script>

$.ajax({
	url:"http://127.0.0.1:8000/app/collects/",
	dataType:'json',//设置返回数据类型
	type:"GET",//请求方式
    //data:
	xhrFields:{withCredentials:true},//设置支持携带cookie
	success:function(response){
		console.log('请求成功');
	},
	error:function(){
		console.log('请求失败');
	},
	async:true//是否异步
})

另: Django Web中 CSRF

在这里插入图片描述

在前端即templates中的html页面中添加 {% csrf_token %}

例如:login.html

<form action="http://127.0.0.1:8000/login/" method="post">
	{% csrf_token %}
    <input type="text" name="user" placeholder="username" class="input-item">
    <input type="text" name="phone" placeholder="phone" class="input-item">
    <input type="password" name="password" placeholder="password" class="input-item">
    <input type="submit" class="btn" value="login">
</form>

在这里插入图片描述

么凹猫'
关注
专栏目录
Nginx 代理解决跨域问题分析
qigeminghao的博客
01-18 2508
当你遇到跨域问题,不要立刻就选择复制去尝试。请详细看完这篇文章再处理 。我相信它能帮到你。 分析前准备: 前端网站地址:http://localhost:8080 服务端网址:http://localhost:59200 首先保证服务端是没有处理跨域的,其次,先用postman测试服务端接口是正常的 当网站8080去访问服务端接口时,就产生了跨域问题,那么如何解决?接下来我把跨域遇到的各种情况都列举出来并通过nginx代理的方式解决(后台也是一样的,只要你理解的原理)。 跨域主要涉及4个响.
Nginx跨域问题的分析
最新发布
shujufenxishi的博客
07-25 886
这块内容,我们主要从以下方面进行解决同源策略浏览器的同源策略: 是一种约定,是浏览器最核心也是最基本的安全功能,如果浏览器少了同源策略,则浏览器的正常功能可能都会受到影响。同源: 协议、域名(IP)、端口相同即为同源跨域主要是针对浏览器的,当我们访问一个网址时,从该网页点击一个链接(或者调用另一个网址)、如果这个链接或者网址不跟访问的网页不同源,就会出现跨域
nginx使用笔记
龙啸九天的专栏
04-06 1080
cmd 进入Nginx解压目录 执行以下命令 start nginx : 启动nginx服务 nginx -s reload :修改配置后重新加载生效 nginx -s reopen :重新打开日志文件 nginx -t -c /path/to/nginx.conf 测试nginx配置文件是否正确 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略.
nginx跨域
OfficerGoodbody的博客
09-02 1万+
1.跨域解释 1.1 怎么知道我遇到了跨域问题 如果项目没做前后端分离,是不会有跨域问题的。前后端分离的项目中,前端调用后台服务时,报错 No 'Access-Control-Allow-Origin' header is present on the requested resource,你就是遇到了跨域问题。另外,前端调试强烈推荐使用chrome,使用QQ浏览...
nginx 跨域
pf1234321的专栏
10-16 213
&lt;html&gt; &lt;head&gt; &lt;meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /&gt; &lt;style&gt;     body {         width: 35em;         margin: 0 auto;         font-family: Tahoma,...
简单了解django处理跨域请求最佳解决方案
09-17
标题中的“简单了解django处理跨域请求最佳解决方案”是指在Django框架中处理来自不同源的HTTP请求,即跨域请求的问题。这个问题通常出现在前端应用(如JavaScript)尝试与不同域名、协议或端口的服务器进行通信时,...
Django跨域请求CSRF的方法示例
09-19
Django框架在处理跨域请求(Cross-Origin Resource Sharing, CORS)时,面临...本文介绍了Django跨域请求CSRF防护的方法和示例,希望对开发者在实际开发过程中有所帮助,同时也强调了正确实现这些安全措施的重要性。
Django跨域请求问题的解决方法示例
09-20
总的来说,Django提供多种方式来处理跨域请求问题,可以根据项目的实际需求选择合适的方法。`django-cors-headers`是最常用和推荐的方式,因为它可以全局控制且配置简单。JSONP虽然在某些情况下有用,但由于只支持...
django解决跨域请求的问题
09-19
在今天的互联网开发中,前端与后端分离的模式变得越来越普遍,而这种模式下跨域请求问题是一个常见又不得不解决的问题。跨域资源共享(Cross-Origin Resource Sharing,CORS)是一种浏览器安全策略,它允许一个域的...
Nginx 跨域
海贼懒懒
04-30 935
具体过程参考:https://blog.csdn.net/qq_35720307/article/details/89680726 server { listen 80 default_server; server_name _; add_header Access-Control-Allow-Credentials t...
nginx实现跨域访问遇到的问题
10-22
什么是最好的跨域实现方式?nginx实现跨域访问遇到的系统环境问题解决方法,踩过的坑分享给大家
nginx 解决跨域问题
ZhengGuangzhq的专栏
07-31 4422
跨域的解决方式是CORS CORS介绍  弄了好久,其实只要允许options请求,在head内加入标识允许字段即可。 但是老项目的原因,权限动不了,options会302跳登录界面  就想到用nginx前置过滤,url-->nginx-->真正服务器 nginx处理:  1.正常情况下,跳转到服务器  2.遇到options请求,直接返回,并带上指定head location
nginx解决跨域问题
smile_team的博客
05-13 376
使用nginx解决跨域问题 注意点 最简单的解决方法,就是把浏览器设为忽略安全问题,设置–disable-web-security。不过这种方式开发PC页面到还好,如果是移动端页面就不行了 例子 原先: 调试页面是:http://192.168.1.100:8080/ 请求的接口是:http://ni.hao.sao/api/get/info 步骤一: 请求的接口是:http://192.168.1.100:8080/api/get/info 改步骤即可解决跨域问题 步骤二: 安装好Nginx后,去
Nginx解决跨域问题
weixin_55853065的博客
11-10 8977
这几天出现了一个问题,我们中的一个A系统需要给B系统调用,造成了跨域问题。当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域
Nginx 轻松搞定跨域问题
热门推荐
Java知音
05-30 2万+
当你遇到跨域问题,不要立刻就选择复制去尝试。请详细看完这篇文章再处理 。我相信它能帮到你。分析前准备:前端网站地址:http://localhost:8080服务端网址:http://localhost:59200首先保证服务端是没有处理跨域的,其次,先用postman测试服务端接口是正常的当网站8080去访问服务端接口时,就产生了跨域问题,那么如何解决?接下来我把跨域遇到的各种情况都列举出来并通...
跨域问题以及关于Nginx的一些内容
Fishermen_sail的博客
03-12 1014
当前URl请求URL是否跨域原因否本域(协议、域名、端口号相同)是协议不同(http、https)是域名不同(zhihu、baidu)是端口号不同(8080、9090)根据上面的表,总的来说就是协议主机端口号三者任意一个不同就是跨域
nginx 跨域问题
qfyangsheng的博客
08-06 237
一. 什么是同源策略 一点历史: Netscape Communications Corporation(最初是Mosaic Communications Corporation)网景是一家独立的美国计算机服务公司,总部位于加利福尼亚州的山景城,然后在弗吉尼亚州的杜勒斯。[2]它的Netscape Web浏览器曾经一度占主导地位,但在所谓的第一次浏览器大战之后输给了Internet Explorer和其他竞争者,其市场份额从1990年代中期的90%以上下降到2002年的不足1%。 2006. Nets.
跨域请求问题 django 怎么解决的
05-19
跨域请求问题可以通过配置 Django 的中间件来解决。具体方法如下: 首先在 settings.py 中配置中间件: ``` MIDDLEWARE = [ # ... 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', # 新增中间件 'corsheaders.middleware.CorsMiddleware', ] ``` 然后在 settings.py 中添加 CORS_ORIGIN_ALLOW_ALL 和 CORS_ALLOW_CREDENTIALS 两个配置项,分别用于允许所有域名进行跨域请求和允许带有凭证的请求: ``` CORS_ORIGIN_ALLOW_ALL = True CORS_ALLOW_CREDENTIALS = True ``` 最后在 views.py 中添加以下装饰器来指定跨域请求可以访问该视图函数: ``` from django.views.decorators.csrf import csrf_exempt from django.utils.decorators import method_decorator from django.views import View @method_decorator(csrf_exempt, name='dispatch') class MyView(View): def post(self, request): # 处理跨域 POST 请求 pass def get(self, request): # 处理跨域 GET 请求 pass ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

么凹猫'

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值