FastAPI系列:如何配置跨域访问(CORS)

最新推荐文章于 2025-03-06 17:44:55 发布
最新推荐文章于 2025-03-06 17:44:55 发布
阅读量1.1k 收藏 30
点赞数 16
分类专栏: # python 文章标签: fastapi cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neweastsun/article/details/145936617
版权

默认情况下,FastAPI应用程序不允许来自不同来源的请求。当你有一个前端应用程序与后端API通信,并且它们托管在不同的域或端口上时,在FastAPI中允许来自不同来源的请求是一种常见的场景。这被称为CORS(跨域资源共享),它需要一些配置才能正常工作。这篇实用的文章将向您展示如何在FastAPI中启用CORS。让我们卷起袖子向前走吧!

介绍CORS

CORS(跨来源资源共享,Cross-Origin Resource Sharing) 是一种浏览器机制,用于控制网页从一个源(域、协议和端口)向另一个源请求资源的安全策略。CORS 允许服务器在响应头中设置特定的 HTTP 头(如 Access-Control-Allow-Origin),以指示浏览器允许哪些跨域请求。
在这里插入图片描述

同源策略简介

在深入理解 CORS 之前,首先需要了解同源策略。同源策略是浏览器的一种安全机制,限制了来自不同源的文档或脚本之间的交互。两个 URL 如果协议、域名和端口都相同,则认为是同源;否则,即为跨源。

同源策略的目的

  • 防止恶意网站读取或篡改其他网站的数据。
  • 保护用户的隐私和安全。

CORS 的工作原理

当一个网页向不同源的服务器发送请求时,浏览器会自动添加一个 Origin 头,指示请求的来源。服务器根据 Origin 头决定是否允许该请求,并在响应中添加 Access-Control-Allow-Origin 头。

主要步骤

  1. 预检请求(Preflight Request):对于某些跨域请求(如带有自定义头部、使用非简单方法如 PUTDELETE),浏览器会先发送一个 OPTIONS 请求,询问服务器是否允许该跨域请求。
  2. 服务器响应:服务器在响应中包含 Access-Control-Allow-Origin 等相关头部,指示浏览器是否允许该请求。
  3. 实际请求:如果预检通过,浏览器会发送实际的跨域请求,并根据服务器的响应决定是否处理返回的数据。
    在这里插入图片描述

CORS 相关的 HTTP 头

  • Access-Control-Allow-Origin

    • 指定允许访问资源的源。可以使用具体的域名(如 https://example.com)或 * 表示允许所有源。

    • 示例:

      Access-Control-Allow-Origin: https://example.com

  • Access-Control-Allow-Methods

    • 指定允许的 HTTP 方法(如 GET, POST, PUT)。

    • 示例:

      Access-Control-Allow-Methods: GET, POST, PUT

  • Access-Control-Allow-Headers

    • 指定允许的自定义请求头。

    • 示例:

      Access-Control-Allow-Headers: Content-Type, Authorization

  • Access-Control-Allow-Credentials

    • 指示是否允许发送凭证信息(如 Cookies)。当设置为 true 时,Access-Control-Allow-Origin 不能使用 *

    • 示例:

      Access-Control-Allow-Credentials: true

CORS 的类型

  1. 简单请求(Simple Request)
    • 使用 GETPOSTHEAD 方法。
    • 仅使用 AcceptAccept-LanguageContent-LanguageContent-Type(仅限 application/x-www-form-urlencodedmultipart/form-datatext/plain)等头。
    • 不需要预检请求。
  2. 预检请求(Preflighted Request)
    • 不属于简单请求的情况,如使用 PUTDELETE 方法,或包含自定义头部。
    • 需要先发送 OPTIONS 请求,询问服务器是否允许该跨域请求。

CORS 的优缺点

优点

  • 提高了 Web 应用的灵活性,允许不同源之间的资源交互。
  • 支持现代 Web 开发中的许多功能,如第三方 API 调用、CDN 资源加载等。

缺点

  • 增加了复杂性,需要服务器端正确配置响应头。
  • 可能带来安全隐患,如果配置不当,可能导致跨站请求伪造(CSRF)等攻击。

CORSMiddleware中间件

FastApi中可以启用CORS的最佳方法是使用cor中间件模块。该模块允许您指定API将从跨域请求中接受的允许的源、方法、头和凭据列表。您还可以使用通配符(*)来允许所有的起源、方法或头,但出于安全原因不建议这样做。

一般来说,设置CORS的步骤如下:

  • 从fastapi.middleware.cors导入CORSMiddleware 中间件
  • 创建一个允许的请求源的列表(作为字符串)
  • 使用app.add_middleware()方法将CORSMiddleware作为中间件添加到FastAPI应用程序中
  • 将允许的请求源列表和想要配置的任何其他参数(例如allow_credentials, allow_methods或allow_headers)传递给中间件。

让我们看一下下面的例子,以便更清楚地了解。

允许来自域列表的请求

在这个例子中,我们限制FastAPI只接受来自特定来源的传入请求,方法和头的数量有限。

示例代码:

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

# Allow these origins to access the API
origins = [
    "http://localhost",
    "https://localhost:3000",
    "https://tools.domain.com",
    "https://www.domain.com",
]

# Allow these methods to be used
methods = ["GET", "POST", "PUT", "DELETE"]

# Only these headers are allowed
headers = ["Content-Type", "Authorization"]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=methods,
    allow_headers=headers,
)

@app.get("/")
async def main():
    return {"message": "Welcome to My Home"}

允许来自任何域的请求

在某些情况下,特别是在开发和测试软件时,你可能希望从API中删除任何限制。下面的代码演示了如何做到这一点:

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

app.add_middleware(
    CORSMiddleware,
    allow_origins=["*"],
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)


@app.get("/")
async def main():
    return {"message": "Welcome to Sling Academy"}

最后总结

本文介绍了CORS,以及如何在FastApi中通过中间件方式灵活实现。

FastAPI学习最后一天: Cors和token鉴权
百锦再的博客
11-23 1万+
FastAPI配置CORS时,我们可以通过中间件来设置不同的限制。
docker-compose install nginx(解决fastgpt)
最新发布
极致,细节
03-17 314
CORS(Cross-Origin Resource Sharing,源资源共享)是一种安全措施,它允许或拒绝来自不同源(协议、名、端口任一不同即为不同源)的网页访问另一源中的资源。同源策略限制:Web 浏览器的同源策略限制了从一个源加载的文档或脚本如何与另一个源的资源进行交互。这意味着默认情况下,浏览器会阻止一个源(例如,)的网页向另一个源(例如,)发送 AJAX 请求。允许源请求:CORS 允许开发者指定哪些网站可以访问其资源。
fastapi 解决问题
dreams_dream的博客
03-06 435
问题 (CORS) 是因为浏览器安全策略阻止了不同来源(origin)的请求访问。为了解决这个问题,你需要在 FastAPI 应用中启用支持。在之后添加的导入,并在 FastAPI 应用实例中添加 CORS 支持。python。
解决问题的FastAPI应用及常见报错解析
Lucas在澳洲
03-06 5772
通过使用FastAPI自带的CORS中间件,可以轻松地解决问题。在本文中,我们详细介绍了FastAPI如何配置CORS以及常见的报错及其解决方法。CORS中间件不仅简化了请求的处理,还使得前后端分离的应用能够更好地协同工作。在实际开发中,如果还遇到其他报错或问题,可以仔细查看错误信息,并结合相关文档进行解决。对于涉及敏感数据的API,确保配置CORS时谨慎选择允许的来源,以防止潜在的安全风险。通过良好的CORS配置,开发者能够构建更加安全、可靠的Web应用。
fastapi
Good Luck
11-30 1447
fastapi
Python FastApi 解决及OPTIONS预请求处理
爱分享的小猿
04-25 2155
Python FastApi 解决及OPTIONS预请求处理
fastAPI设置
码匀的博客
12-22 7923
最近使用ajax来前端请求自己用fastAPI写的接口出现了问题,这玩意折腾我好几天,一直以为我写的前端的问题,浏览器控制台的报错也没仔细看(其实是不懂),直到我百度。。。。。吐血。 下面设置fastAPI,在初始化app之后加上即可: app = FastAPI( title='xxxx ', description='xxx', version='1.0.0' ) app.add_middleware( CORSMiddleware, # 允许的源列表,例如 ["http://ww
FastAPI 访问cors设置
Humbunklung的专栏
11-28 931
前端写了个页面,调用后台一个服务,出现了访问错误,截图如下: 示例代码如下: 问题解决 在 中设置访问()可以通过使用 模块来实现。代码中配置 CORS 的步骤如下:修改后的代码如下: 解释 : 这是一个列表,包含允许访问你的 API 的来源。我们可以添加多个来源,例如 “http://localhost:3000”。 : 如果设置为 ,则允许发送凭据(如 )。 : 允许的 HTTP 方法,[“*”] 表示允许所有方法。 : 允许的 HTTP 头,[“*”] 表示允许所有头。 修改结果 代
fastapi-、静态文件添加
lm709409753的专栏
07-09 723
【代码】fastapi-、静态文件添加。
FastAPI 解决后台应用问题的及常见报错(记录)
风吹落叶的博客
06-11 1319
问题在前后端分离的Web应用中经常会遇到,明明直接访问没有问题,但在实际在浏览器中使用的时候返回405。FastAPI作为一个快速、现代化的Python Web框架,在处理问题上也提供了一些解决方案。本文将介绍如何使用FastAPI来解决问题,并分析一些常见的报错及解决方法。
FastAPI(39)- 使用 CORS 解决问题
qq_33801641的博客
09-28 2682
同源策略 https://www.cnblogs.com/poloyy/p/15345184.html CORS https://www.cnblogs.com/poloyy/p/15345871.html FastAPI 模拟问题 https://www.cnblogs.com/poloyy/p/15345763.html 需要先了解什么是同源策略、CORS报错栗子才能更好看懂这篇文...
FastAPI解决报错net::ERR_FAILED 200 (OK)
这家伙很懒,什么都没有留下
12-05 1916
问题是前后端分离开发中常见的一个挑战,但通过使用FastAPI内置的CORS中间件,你可以轻松地配置访问策略并解决报错。本文详细介绍了如何安装FastAPI配置CORS中间件、解决报错的步骤以及一个具体的案例。希望这些内容能够帮助你快速解决问题,并提升你的开发效率。
FastAPI学习最后一天:自定义token验证中间件
热门推荐
百锦再的博客
11-23 1万+
在这个例子中,我们在请求处理前打印了请求的URL路径,在请求处理后打印了响应的状态码。的解析和验证逻辑,但这通常不是推荐的做法,因为FastAPI的路由依赖注入系统已经提供了更简洁的方式来处理Token验证。方法中实现类似的逻辑来解析和验证Token,但这通常是不必要的,因为FastAPI的依赖注入系统已经提供了这种功能。下面是一个简单的中间件示例,它的作用是在每个请求被处理之前记录请求信息,并在请求处理之后记录响应信息。在您的中间件示例中,您手动从请求头中提取和验证了Token,因此。
Python web框架fastapi中间件的使用,CORS详解
景天科技苑
03-05 2746
fastapi "中间件"是一个函数,它在每个**请求**被特定的路径操作处理之前,以及在每个**响应**之后工作. 它接收你的应用程序的每一个请求. 然后它可以对这个请求做一些事情或者执行任何需要的代码. 然后它将请求传递给应用程序的其他部分 (通过某种路径操作). 然后它获取应用程序生产的响应 (通过某种路径操作). 它可以对该响应做些什么或者执行任何需要的代码. 然后它返回这个 响应。
前端Vue 后端FastApi CORS
weixin_44656422的博客
05-06 866
前端是localhost:3000,后端是localhost:8000 ,就是了。
【Python开发】FastAPI 09:middleware 中间件及
尹煜的博客
06-10 4799
FastAPI提供了一些中间件来增强它的功能,类似于 Spring 的切面编程,中间件可以在请求处理前或处理后执行一些操作,例如记录日志、添加请求头、鉴权等,也是 FastAPI中间件的一部分。
【Python高级编程案例】-第16课时-python FastApi访问
xzs51job的专栏
09-24 791
资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是GET。
设置访问
weixin_33795743的博客
02-06 234
前端页面: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta h...
python FastAPI
03-08
### 配置CORS以实现在FastAPI中的请求 为了使FastAPI应用程序能够处理来自不同源的HTTP请求,即实现资源共享(CORS),可以通过安装并配置`CORSMiddleware`中间件来达成这一目标[^1]。 具体来说,在FastAPI应用中集成CORS功能涉及几个方面的工作: #### 导入必要的模块 首先,需要导入`CORSMiddleware`类以便后续可以对其进行实例化和配置。 ```python from fastapi import FastAPI from fastapi.middleware.cors import CORSMiddleware ``` #### 创建允许访问的应用程序对象 接着,创建一个FastAPI的应用实例,并通过调用其`.add_middleware()`方法向其中添加已配置好的CORS中间件。 ```python app = FastAPI() origins = ["*"] # 或者指定具体的名列表, 如["https://example.com"] app.add_middleware( CORSMiddleware, allow_origins=origins, allow_credentials=True, allow_methods=["*"], allow_headers=["*"], ) ``` 上述代码片段展示了如何设置允许任何来源(`"*"`表示所有),以及允许所有的HTTP动词(GET、POST等)和自定义头信息。如果希望进一步限制这些参数,则可以根据实际需求调整相应的选项值[^2]。 当完成以上步骤之后,FastAPI将会自动为每一个返回给客户端的响应附加合适的CORS头部字段,从而使得浏览器端能够正常接收到来自其他的数据资源[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值