同源策略与CORS(跨源资源共享)以及django项目支持CORS

最新推荐文章于 2022-11-13 16:13:21 发布
最新推荐文章于 2022-11-13 16:13:21 发布
阅读量3.5k 收藏 1
点赞数 1
分类专栏: Web安全 django框架 文章标签: django python 安全 CORS http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330486/article/details/122312015
版权

文章目录

一、同源策略/SOP(Same origin policy)

1.1 源(origin)的定义

以下三个部分共同构成了一个源:

  • 协议:如http、https、ftp等;

  • 域名:如www.baidu.comwww.google.com等;

  • 端口:如443、80等。

1.2 同源的含义

如果两个 URL 的源完全相同的话,则这两个 URL 是同源

举例来说, http://store.company.com/dir/page.html 与下面的 URL 比较:

URL 结果 原因
http://store.company.com/dir2/other.html 同源 只有路径不同
http://store.company.com/dir/inner/another.html 同源 只有路径不同
https://store.company.com/secure.html 失败 协议不同
http://store.company.com:81/dir/etc.html 失败 端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html 失败 主机不同

1.3 同源策略

同源策略是一个重要的安全策略,它是浏览器最核心最基本的安全功能。它用于限制非同源的站点之间如何进行数据交互,极大程度上防止了如CSRF、XSS等网络攻击。

具体的限制措施如下:

  • 无法读取对方的 Cookie、LocalStorage 和 IndexDB。
  • 无法获得对方的 DOM。
  • 不能向对方发送 AJAX 请求。

二、CORS(跨源资源共享)

由于浏览器的同源策略,浏览器不能向不同源的URL发送AJAX请求,但有时候还就需要这样做。这个问题有几种解决方案,但最终极的解决方案是CORS。

CORS是一个W3C标准,全称是“跨源资源共享”(Cross-origin resource sharing)。它允许浏览器不同源的URL发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS是基于HTTP头的,它新增了一组 HTTP 首部字段,允许服务器声明哪些源站可以通过浏览器访问哪些资源。

2.1 预检请求

对于某些请求,**浏览器必须首先使用 OPTIONS方法发起一个预检请求,从而获知服务端是否允许该跨源请求。**服务器确认允许之后,才发起实际的 HTTP 请求。

最低0.47元/天 解锁文章
花_城
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
同源策略以及CORS跨域资源共享
Allurewuhui的博客
03-28 1541
一;同源策略: 1.同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 2.满足同源要具备三方面:协议相同、域名相同、端口相同。 3.只要以上三点有一点不满足,就会产生跨域,解决跨域常见的方法:JSONP,CORS。 二;什么是CORS: 1.CORS (Cross-Origin Resource Sharing,跨域资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端
CORS同源策略
qq_45378970的博客
10-03 509
同源策略什么是同源策略(Same Origin Policy)?什么是跨域?什么是域名? 什么是同源策略(Same Origin Policy)? 所谓同源策略,所谓同源是指,域名,协议,端口相同。它是浏览器的一种最核心最基本的安全策略。它对来至不同源的文档或这脚本对当前文档的读写操作做了限制。 为什么要有这个策略,想必你已经知道,那就是因为保证用户的信息安全。 什么是跨域? 访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认是不允许的。访问不同源的资源那就是我们所说的跨域 什么是
同源策略CORS和JSONP
duke_ding2的博客
07-11 184
同源策略(Same origin policy)是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript的浏览器都会使用这个策略。同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。简而言之,如果两个页面的协议(protocol)、主机(host)、端口(port)都相同,则二者称为同源。创建SpringBoot项目 ,添加Spring Web依赖。创建Controller : 运
CORS 跨域-同源策略
Leon_Jinhai_Sun的博客
04-06 271
同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。
AJAX发送请求、同源策略CORS跨域
weixin_33845881的博客
04-09 150
1. 如何发请求?(ajax以前) 用 form 可以发请求,但是会刷新页面或新开页面 用 a 可以发 get 请求,但是也会刷新页面或新开页面 用 img 可以发 get 请求,但是只能以图片的形式展示 用 link 可以发 get 请求,但是只能以 CSS、favicon 的形式展示 用 script 可以发 get 请求,但是只能以脚本的形式运行 有没有什么方式可以实现(ajax出来之前的...
django-cors-headers-3.0.2.tar.gz
01-03
**描述解析:** "django-cors-headers" 是 Django 框架的一个扩展,专门处理跨源资源共享CORS,Cross-Origin Resource Sharing)的问题。CORS 是一种 W3C 标准,允许浏览器和服务器之间进行跨域通信,从而放宽了...
Django使用中间件解决前后端同源策略问题
09-18
在使用Django框架开发Web应用时,经常会遇到前后端分离架构中的跨域资源共享CORS)问题。同源策略是浏览器的一种安全机制,它要求来自同一源的页面才能共享数据。在本案例中,前端使用Angular框架开发的图书管理...
DRF跨域后端解决之django-cors-headers的使用
09-19
### DRF跨域问题与django-cors-headers的解决方案 #### 跨域问题概述 在Web开发中,出于安全考虑,浏览器实施了同源策略(Same-origin policy)。该策略限制了一个网页上的脚本只能与同一来源的页面进行交互。简单...
django基于cors解决跨域请求问题详解
09-18
同源策略CORS(跨域资源共享)是浏览器安全策略中非常重要的两个概念,是Web开发中经常遇到的问题,尤其在前后端分离的项目中更为常见。下面将详细介绍这两个概念以及在Django项目中如何基于CORS解决跨域请求问题...
Django跨域资源共享问题(推荐)
01-20
最近做了一个前后端分离的web项目,其中我司职后端,使用django框架。在前后端集成测试的时候,就遇到了一些web安全相关的问题,cors跨域资源共享就是其中之一。 cors问题介绍 跨域资源共享(CORS) 是一种机制,它...
Django通过设置CORS解决跨域问题
01-19
一、Ajax 跨域请求 Ajax 请求一个目标地址为非本域(协议、主机、端口任意一个不同)的 web 资源。 前端 http://192.168.10.50:8080 后端 http://192.168.10.50:8000 Ajax 跨域请求保护的作用:防止跨站的攻击。 二、如何解决跨域的访问 当我们在现实当中有需要跨域访问资源,有两种解决方案: 前端解决:jsonp 后端解决(Django):CORS 专门解决方案 这篇文章主要介绍使用 Django 框架进行开发时的后端解决方案。 三、Django 解决跨域问题 Django 框架中通过 django-cors-head
Django中使用CORS实现跨域请求过程解析
01-20
跨域请求: 请求url包含协议、网址、端口,任何一种不同都是跨域请求。 1.安装cors模块 pip install django-cors-headers 2.添加应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 3.设置中间件 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] 4.添加允许访问的白名单,凡是出现在白名单的域名都可以访问后端接口 # CORS CORS_ORIGIN_WHITELIST = ( '127.0.0.1:8080',
CORS跨域和同源策略
weixin_45439324的博客
11-19 458
CORS跨域和同源策略 同源策略 先来说说什么是源 • 源(origin)就是协议、域名和端口号。 以上url中的源就是:http://www.company.com:80 若地址里面的协议、域名和端口号均相同则属于同源。 以下是相对于 http://www.a.com/test/index.html 的同源检测 • http://www.a.com/dir/page.html ----成...
django同源策略
weixin_30663391的博客
02-14 238
什么是同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。如果非同源,那么在请求数据时,浏览器会...
Django中使用CORS实现跨域请求
zizle_lin的博客
08-03 5585
跨域请求: ​    请求url包含协议、网址、端口,任何一种不同都是跨域请求。 1.安装cors模块 pip install django-cors-headers 2.添加应用 INSTALLED_APPS = (     ...     'corsheaders',     ... ) 3.设置中间件 MIDDLEWARE = [     'corsheaders.mid...
django - CORS
Wow! You can really code!
12-12 154
跨域问题 跨域是由于 浏览器 的 同源策略 导致的问题 请求地址的组成 例:http://www.baidu.com:80/s?keywords=图片 http : schema,是一种协议 www.baidu.com 是域名 80 : 是默认的端口,可以省略 /s 是请求地址 keywords=图片 请求参数 什么是同源策略? 指的是 协议相同、域名相同、端口相同 http://www...
同源策略产生介绍及解决跨域最常见的三种方式(JSONP+CORS+反向服务器代理),用详细的前后端分离代码带你搞懂跨域原理
最新发布
izl040905的博客
11-13 787
跨域其实就是用AJAX进行请求数据时会遇到的访问问题,浏览器会给你报错,Fetch也是有这样的问题。这时候你可能会问,为什么在script标签中引用了别的源却不会出现这样的问题呢?这种情况相信写过JS代码的都知道吧。这是因为JS设计人员当初在设计标签的时候就允许了在别的源请求脚本,所以就有很聪明的开发前辈利用这个 “ 漏洞 ” 进行跨域,这个方法便是JSONP。
Django跨域实现(CORS
luan_225的博客
10-28 259
1,INSTALLED_APPS 中添加 corsheaders 2,MIDDLEWARE 中添加 corsheaders.middleware.CorsMiddleware 位置尽量靠前,官方建议 ‘django.middleware.common.CommonMiddleware’ 上方 3,CORS_ORIGIN_ALLOW_ALL 布尔值 如果为True 白名单不启用 4,CORS_O...
django处理跨域资源共享CORS
qq_41661056的博客
04-08 827
同源策略/ SOP(Same origin policy) 是一种约定,由Netscape公司1995年发布。,它是浏览器最核心也最基本的安全功能,如果有了同源策略,所谓相似是指“协议+域名+端口”三者相同,甚至两个不同的域名指向同一个IP地址,也非同源。 跨域请求: 前后端分离设计的站点越来越多,通常为了减轻web服务器的负载,我们把js,css,img等静态资源分离到另一台独立域名的服务器上,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花_城

你的鼓励就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值