同源策略与CORS(跨源资源共享)以及django项目支持CORS

最新推荐文章于 2024-04-23 12:30:00 发布
最新推荐文章于 2024-04-23 12:30:00 发布
阅读量3.5k 收藏 1
点赞数 1
分类专栏: Web安全 django框架 文章标签: django python 安全 CORS http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330486/article/details/122312015
版权

文章目录

一、同源策略/SOP(Same origin policy)

1.1 源(origin)的定义

以下三个部分共同构成了一个源:

  • 协议:如http、https、ftp等;

  • 域名:如www.baidu.comwww.google.com等;

  • 端口:如443、80等。

1.2 同源的含义

如果两个 URL 的源完全相同的话,则这两个 URL 是同源

举例来说, http://store.company.com/dir/page.html 与下面的 URL 比较:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html失败主机不同

1.3 同源策略

同源策略是一个重要的安全策略,它是浏览器最核心最基本的安全功能。它用于限制非同源的站点之间如何进行数据交互,极大程度上防止了如CSRF、XSS等网络攻击。

具体的限制措施如下:

  • 无法读取对方的 Cookie、LocalStorage 和 IndexDB。
  • 无法获得对方的 DOM。
  • 不能向对方发送 AJAX 请求。

二、CORS(跨源资源共享)

由于浏览器的同源策略,浏览器不能向不同源的URL发送AJAX请求,但有时候还就需要这样做。这个问题有几种解决方案,但最终极的解决方案是CORS。

CORS是一个W3C标准,全称是“跨源资源共享”(Cross-origin resource sharing)。它允许浏览器不同源的URL发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS是基于HTTP头的,它新增了一组 HTTP 首部字段,允许服务器声明哪些源站可以通过浏览器访问哪些资源。

2.1 预检请求

对于某些请求,**浏览器必须首先使用 OPTIONS方法发起一个预检请求,从而获知服务端是否允许该跨源请求。**服务器确认允许之后,才发起实际的 HTTP 请求。

2.2 请求分类

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

简单请求不会触发CORS预检请求,而非简单请求则必须发送预检请求。

满足以下条件的,属于简单请求:

  • 请求方法是以下三种之一:
    • HEAD
    • GET
    • POST
  • HTTP的头信息不超出以下几种字段:
    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type:只限于三个值application/x-www-form-urlencodedmultipart/form-datatext/plain
  • 请求中的任意 XMLHttpRequest对象均没有注册任何事件监听器;XMLHttpRequest 对象可以使用 XMLHttpRequest.upload属性访问。
  • 请求中没有使用 ReadableStream对象。

而凡是不同时满足上面的任何一个条件,就属于非简单请求。

2.3 简单请求

对于简单请求,浏览器在头信息之中,增加一个Origin字段,然后直接发出CORS请求。请求报文的例子如下:

GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example

请求首部字段Origin 表明该请求来源于 http://foo.example

如果该源服务器的允许范围之内,那么服务器就会返回一个携带了Access-Control-Allow-Origin头部信息的HTTP响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[XML Data]

Access-Control-Allow-Origin: * 表明,该资源可以被任意外域访问。

如果该源不在服务器的允许范围之内,那么服务器就会返回一个正常的HTTP响应。但浏览器发现响应没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。

2.4 非简单请求

浏览器发出CORS非简单请求,会在正式通信之前先发送预检请求。询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。

预检请求示例:

OPTIONS /resources/post-here/ HTTP/1.1
Host: qcloud.com
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://apigw.qcloud.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type

Access-Control-Request-Method告诉服务器发的请求是POST请求,Access-Control-Request-Headers通知自己带有X-PINGOTHER自定义header。

响应报文示例:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://apigw.qcloud.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

Access-Control-Allow-Origin与前面类似,Access-Control-Allow-Methods这里说明支持POST/GET/OPTIONS方法,Access-Control-Allow-Headers这里说明允许X-PINGOTHER自定义header,Access-Control-Max-Age用来指定本次预检请求的有效时间,86400是24小时也就是一天。

一旦服务器通过了”预检”请求,在Access-Control-Max-Age指定的时间内,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

三、使Django项目支持CORS

3.1 自定义中间件

具体实现这里就不讲了,大体思路就是根据请求报文判断请求类型,然后再去做响应的处理。

3.2 使用django-cors-headers

3.2.1 安装

  1. 使用pip安装:

    pip install django-cors-headers

  2. 注册app:

    INSTALLED_APPS = [
    ...,
    "corsheaders",
    ...,
]

  3. 添加到中间件:

    MIDDLEWARE = [
    ...,
    "corsheaders.middleware.CorsMiddleware",
    "django.middleware.common.CommonMiddleware",
    ...,
]

    CorsMiddleware应该放在尽可能高的位置,特别是在任何能够生成响应的中间件之前,比如Django的CommonMiddleware或Whitenoise的WhiteNoiseMiddleware。如果没有,它将不能向这些响应添加CORS头。

3.2.2 配置

在Django设置中配置中间件的行为,以下三种配置的至少配置一种:

  • CORS_ALLOWED_ORIGINS:允许CORS的源。

    CORS_ALLOWED_ORIGINS = [
    "https://example.com",
    "https://sub.example.com",
    "http://localhost:8080",
    "http://127.0.0.1:9000",
]

  • CORS_ALLOWED_ORIGIN_REGEXES:与上面的配置项类似,只不过支持正则表达式。

    CORS_ALLOWED_ORIGIN_REGEXES = [
    r"^https://\w+\.example\.com$",
]

  • CORS_ALLOW_ALL_ORIGINS:是否允许所有的源进行CSOR请求,默认为False。

还有一些其他的配置:

  • CORS_ALLOW_CREDENTIALS:如果为True,则允许在跨源的HTTP请求中包含cookie。默认值为False。

  • CORS_ALLOW_METHODS:允许跨源请求的请求方法。

    CORS_ALLOW_METHODS = [
    "DELETE",
    "GET",
    "OPTIONS",
    "PATCH",
    "POST",
    "PUT",
]

更详细的配置参考官方文档:传送门

花_城
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CORS跨域
weixin_46078854的博客
11-12 1528
一、修改代码: 1.简单请求 //go后端(w为http.ResponseWriter): w.Header().Set("Access-Control-Allow-Origin", “*”); 2.非简单请求(预检) //go后端(w为http.ResponseWriter): // 如果需要http请求中带上cookie,需要前后端都设置credentials,且后端设置指定的origin,即域名不能为"*" w.Header().Set("A......
实现chrome扩展启动本地进程 - 补充
Black—Horse的专栏
10-17 2万+
示例 主要包含如下部分 com.google.chrome.demo-win.json native_cmd.bat manifest.json popup.html popup.js 功能简介:    实现一个扩展,用户点击一个按钮后会启动本地的notepad程序(也可以为自己写的程序,这里示例就启动notepad,类似迅雷扩展的功能) 实现概述:    通过启动本地的
彻底理解前端安全面试题(3)—— CORS跨域资源共享,解决跨域问题,建议收藏(含源码)
最新发布
Karka_的博客
04-23 1083
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 +一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第三篇文章,内容就是 CORS 同源策略
Spring Boot 如何配置 CORS 支持
stormjun的博客
09-26 1730
CORS是一种网络安全机制,用于控制跨源HTTP请求的访问权限。在默认情况下,浏览器会禁止跨源请求,以防止潜在的安全风险。CORS通过在HTTP响应头中添加特定的标头来启用跨域请求,这些标头指示浏览器允许请求来自不同源的资源。通过配置CORS支持,您可以明确指定哪些源可以访问您的应用程序的资源。通过简单的配置,Spring Boot使CORS支持变得容易。通过明确指定允许的来源、方法和标头,您可以确保您的应用程序能够安全地与其他域的资源进行交互。
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
前后端分离项目跨域问题No ‘Access-Control-Allow-Origin‘解决方案
secretdaixin的博客
02-27 9588
前后端分离项目跨域问题,浏览器控制台报错:No 'Access-Control-Allow-Origin' header is present on the requested resource. 请求方法为OPTIONS,状态值为302或403。 本文解决常见的CORS跨域问题,以及,集成CAS 5.3单点登录内嵌页面时,发送复杂请求产生的跨域问题。
django-cors-headers-3.0.2.tar.gz
01-03
**描述解析:** "django-cors-headers" 是 Django 框架的一个扩展,专门处理跨源资源共享CORS,Cross-Origin Resource Sharing)的问题。CORS 是一种 W3C 标准,允许浏览器和服务器之间进行跨域通信,从而放宽了...
Django跨域资源共享问题(推荐)
01-20
最近做了一个前后端分离的web项目,其中我司职后端,使用django框架。在前后端集成测试的时候,就遇到了一些web安全相关的问题,cors跨域资源共享就是其中之一。 cors问题介绍 跨域资源共享(CORS) 是一种机制,它...
django基于cors解决跨域请求问题详解
12-31
同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。...已拦截跨源请求:同源策略禁止读取位
django-cors-headers-2.4.0.tar.gz
07-24
`django-cors-headers` 是一个非常重要的Python Django框架扩展,主要用于处理跨域资源共享CORS)问题。在Web开发中,由于同源策略的限制,浏览器会阻止来自不同源的请求,但有时我们需要允许来自其他源的请求,...
修改kubernetes中应用路由Ingress配置解决报跨域报错CORS问题
quyingzhe0217的博客
03-15 1150
修改kubernetes中应用路由Ingress配置解决报跨域报错CORS问题
elasticsearch开启跨域访问
The magic of fingertips
07-07 1万+
参考官方doc地址:https://www.elastic.co/guide/en/elasticsearch/reference/current/modules-http.html 添加如下配置:  http.cors.enabled: true  http.cors.allow-origin: /http?:\/\/192.168.10.139(:[0-9]+
Ingress 兼容https & http 跨域配置access-control-allow-origin
zhangxiangui40542的专栏
03-29 7048
Ingress 兼容前端https & http 跨域配置access-control-allow-origin 场景说明: 前端域名a.com访问后端b.com域名,其中b.com使用Ingress配置,需要支持http://a.com和https://a.com两种前端域名跨域方式访问b.com。 一、使用Ingress原生跨域Annotations配置只可满足其中一种情况 注意,官方最新的文档cors-allow-origin支持配置多个域名,但在我们使用的比较旧的版本0.32中配置两个直接被
Django中使用CORS实现跨域请求
zizle_lin的博客
08-03 5580
跨域请求: ​    请求url包含协议、网址、端口,任何一种不同都是跨域请求。 1.安装cors模块 pip install django-cors-headers 2.添加应用 INSTALLED_APPS = (     ...     'corsheaders',     ... ) 3.设置中间件 MIDDLEWARE = [     'corsheaders.mid...
SpringBoot2.x配置Cors跨域
weixin_33739523的博客
10-23 204
1 跨域的理解 跨域是指:浏览器A从服务器B获取的静态资源,包括Html、Css、Js,然后在Js中通过Ajax访问C服务器的静态资源或请求。即:浏览器A从B服务器拿的资源,资源中想访问服务器C的资源。 同源策略是指:浏览器A从服务器B获取的静态资源,包括Html、Css、Js,为了用户安全,浏览器加了限制,其中的Js通过Ajax只能访问B服务器的静态资源或请求。即:浏览器A从哪拿的资源,那资源...
Django解决CORS跨域
张鑫宇
03-12 1711
要解决跨域问题首先要了解同源以及非同源: 浏览器同源策略是:协议、主机ip 和 端口port 都相同的两个地址是同源地址,否则是非同源地址. 现在大多都是前后端分离的情况, 前端和后端分处不同的域名, 浏览器会限制脚本内部发送跨域请求, 当需要跨域的时候, 浏览器会发送一个options请求, 这个请求的意义就是预先查询需要跨域访问的站点是否支持允许跨域请求,如果不支持, 则会报CORS的错误...
Django项目关于跨域cors及解决方案(配置项)
li944254211的博客
11-05 918
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 三者之间任意与当前页面地址不同,即为跨域。 我们的前端和后端分别是两个不同的端口。现在,前端与后端分处不同的域名,这就涉及到跨域访问数据的问题,因为浏览
SpringMVC工程解决"CORS 头缺少 'Access-Control-Allow-Origin'"问题
热门推荐
进击的小宇宙
04-13 3万+
一、 问题日志 前端请求服务器,返回以下错误信息: 已拦截跨源请求:同源策略禁止读取位于 http://localhost:8080/xxxxx/demo/login 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。 二、 问题原因 设计这个机制是为了提高安全性。 三、 解决方案 方法一: 后端返回的响应头中...
CORS(跨站资源共享)
07-27
CORS(Cross-Origin Resource Sharing)是一种用于在浏览器中进行跨域资源共享的机制。在Web开发中,由于浏览器的同源策略限制,不同源的网页(协议、域名、端口号有所不同)之间无法直接进行跨域通信。而通过CORS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花_城

你的鼓励就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值