Javascript跨域访问资源

最新推荐文章于 2023-07-01 11:36:22 发布
最新推荐文章于 2023-07-01 11:36:22 发布
阅读量2.8k 收藏
点赞数
分类专栏: Python Django Javascript 网络安全 文章标签: javascript django 服务器 互联网 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybdesire/article/details/47787897
版权
Python 同时被 3 个专栏收录
78 篇文章 1 订阅
订阅专栏
网络安全
22 篇文章 1 订阅
订阅专栏
Javascript
10 篇文章 0 订阅
订阅专栏
    用Django开发的API,在浏览器里可以正常访问,但在javascript里用GET访问,却报错如下:
    No 'Access-Control-Allow-Origin' header is present on the requested resource.

    查了一下,其实这个问题水还不浅,下面来分析一下。


    首先得知道,浏览器规定了一个“同源策略”(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(JS)在没明确授权的情况下,不能读写对方的资源。这是Netscape提出的一个著名的安全策略,所有能跑JS的浏览器都遵守这个策略[1]。
    就是说脚本只能向加载它的站点发送HTTP请求。浏览器能GET到(直接在浏览器地址栏里访问)的资源,脚本不一定能GET到。举个例子,比如通过这个URL(http://tb2.bdstatic.com/tb/static-spage/widget/member_rank/member_rank_z_a0f387f.pnG),可以访问到百度的一张图片。你把这个URL用浏览器直接访问,或者写在HTML的image元素的src里,都是可以正常访问到这张图片。但用JS来GET,就会报错。

    注意这个策略是浏览器策略,如果在其它非浏览器运行的脚本中,比如python,还是能GET到百度这个图片的。


    这个策略是一个安全策略,没有它,就会发生cookie劫持(A站点获取B站点的cookie)一类的安全问题。但这个策略规定的那么死,A站点的JS又不能调用B开发的API,那API就没啥用了。如果一个站点不能访问另一站点的资源,互联网上的资源冗余得有多大!


    所以,为了不让咱们白开发API,出现了CORS(跨域资源共享)。CORS是一种机制,只要服务器遵守这种机制,就能实现A站点的脚本访问B站点的资源,上面那个百度的图片就能被我们本地的JS脚本GET到了。
    CORS机制规定,服务器要在HTTP头中添加Access-Control-Allow-Origin, Access-Control-Allow-Methods,来限制其他站点和可以访问资源的方法。再看看最初提到的那个报错,不就是服务器没有配置Access-Control-Allow-Origin么。
    将支持CORS的站点地址添加到源服务器Access-Control-Allow-Origin,则该站点的JS,就能访问到源服务器中的资源。

    回到Django,利用Django的中间件,有更简单的方法能满足CORS机制,详见这里

1. 在Django项目的跟目录(manage.py所在目录)下
pip install django-cors-headers

2. 在settings.py中配置CORS_ORIGIN_ALLOW_ALL,则允许所有站点来访问资源
INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)

MIDDLEWARE_CLASSES = (
    ...
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    ...
)

CORS_ORIGIN_ALLOW_ALL = True

    开放了所有站点来访问资源,在HTTP头中,Access-Control-Allow-Origin被设置为"*"。 允许所有站点访问资源的做法并不安全,比如黑客写一段无穷个GET来访问资源的代码,就可能导致服务器瘫痪,所以还可以设置白名单:

CORS_ORIGIN_WHITELIST = (
        'localhost:8083',
        'hostname.example.com'
    )


下面是Baidu在处理POST请求时的HTTP响应,它将Access-Control-Allow-Origin被设置为"*",看来Baidu还用了其它手段保证安全。


Ref:
[1]http://www.jianshu.com/p/4e17445d66e2

ybdesire
关注
专栏目录
探讨跨域请求资源的几种方式(总结)
09-01
主要介绍了探讨跨域请求资源的几种方式(总结),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
js 跨域(JSONP/CORS/WebSocket/postMessage/location.hash/document.domain/window.name)
青蛙king的博客
06-10 1327
一、跨域 1、不符合同策略的通信就是跨域策略:同端口、同域名、同协议。 二、解决跨域 1、反向代理 2、CORS CORS 使用自定义的 HTTP 头部让浏览器与服务器进行沟通 使用 CORS 跨域时,在 Ajax 请求时要自定义HTTP 的请求头 Origin,Origin 包含请求页面(当前页面)的信息——协议、域名和端口。比如: // ajax 中设置 HTTP 的请求头 Origin: http://www.test.net 服务器端对于CORS的支持,主要..
JavaScript中的跨域详解(内附码)
王二狗
05-06 2442
什么是跨域?什么是跨域?所谓跨域,就是如果在不同的域名下面存在数据交互,这个时候就会存在跨域的问题,这里要说明的是在同一个网站不同的文件夹下的数据交互是不存在跨域问题的。哪些情况下存在跨域问题? 主域和子域之间会存在跨域问题(比如 www.a.com 和 www.a.b.com)。 不同的域名存在跨域问题,哪怕这两个域名指向的是同一个ip地址。 为什么 ajax 不可以跨域?因为 ajax 是通过
django-cors设置
weixin_30640769的博客
07-16 352
MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'corsheaders.middleware.CorsMiddleware', 'django.middlewar...
跨域配置黑白名单
sdsdvsdvs的博客
08-31 541
在前段保存token数据//# 用户模型类 子应用名.模型类。此导包自带用户信息字段//# 添加黑白名单。
Javascript 跨域访问解决方案
10-30
JavaScript跨域访问解决方案详解 由于浏览器的同策略(Same-Origin Policy),JavaScript通常只能访问与当前页面同(协议、域名、端口均相同)的资源,以防止恶意脚本跨域窃取数据。然而,在实际开发中,我们...
AJAX javascript跨域访问执行
10-30
跨域问题是指当JavaScript尝试访问另一个域的资源时,浏览器的安全策略会阻止其执行。这是由于浏览器的同策略(Same Origin Policy)所导致的。同策略限制了从同一个加载的文档或脚本如何与来自另一个的...
JavaScript策略和跨域访问实例详解
10-18
JavaScript策略和跨域访问是Web开发中的关键概念,它们直接影响到网页中不同之间的交互能力。同策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
JavaScript cookie 跨域访问之广告推广
10-22
根据提供的文件信息,可以提炼出关于JavaScript cookie跨域访问的知识点,重点在于如何在广告推广场景中实现跨域功能。下面详细说明这些知识点: 1. **跨域访问的概念**:在Web开发中,跨域指的是一个域下的文档或...
JavaScript跨域方法汇总
10-25
7. **CORS(Cross-Origin Resource Sharing)**:通过在服务器端设置`Access-Control-Allow-Origin`响应头,允许特定域的请求访问资源。CORS支持所有HTTP方法,且可以携带自定义头部和POST请求体数据。 8. **...
SpringBoot配置Cors解决跨域请求问题
weixin_34290352的博客
05-23 454
一、同策略简介 同策略[same origin policy]是浏览器的一个安全功能,不同的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同策略是浏览器安全的基石。 什么是 [origin]就是协议、域名和端口号。例如:http://www.baidu.com:80这个URL。 什么是同 若地址里面的协议、域名和端口号均相同则属于同。 是否是同的判断 例如判断下面的URL...
django中的跨域问题以及解决策略
Yietong的博客
11-07 8261
CORS是一个W3C标准,全程跨域资源共享。它允许浏览器向跨的后端服务器发出ajax请求,从而克服了AJAX只能同使用的限制。实现CORS主要一开后端服务器响应数据中设置响应头信息返回的CORS需要浏览器和服务器同时支持, 目前除了IE浏览器都支持该功能整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
Django网络安全】如何正确设置跨域
黎明总是如期而至
05-08 5105
我辈李想:文章原创,转载时请务必加上、作者信息和本声明。
跨域访问资源(详细)
小李不吃肉
08-25 3438
1:那些东西属于网络资源 js(s文件是允许被跨域请求的)、css、图片等等,src属性的资源都是可以被跨域请求的,href大多可以被跨域请求的额。 2:那些资源跨域请求的资源 1:后端接口的数据 2:其他域的coolik 3:其他域的缓存 3:怎么算跨域,什么叫其他的域 页面的协议、域名、端口有任意一个不一样就算跨域。 4:跨域发生在哪里 首先我们要知道 (1):即使跨域了,请求也可以发出去。...
Django项目关于跨域cors及解决方案(配置项)
li944254211的博客
11-05 933
出于浏览器的同策略限制。同策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同策略基础之上的,浏览器只是针对同策略的一种实现。所谓同(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 三者之间任意与当前页面地址不同,即为跨域。 我们的前端和后端分别是两个不同的端口。现在,前端与后端分处不同的域名,这就涉及到跨域访问数据的问题,因为浏览
CORS_ORIGIN_WHITELIST is missing scheme or netloc错误
qq_42799459的博客
05-27 7817
Django报错(cors跨域请求报错) 注:有的可以使用错误的方法也可以,有的不能使用错误的方法 django.core.management.base.SystemCheckError: SystemCheckError: System check identified some issues: ERRORS: ?: (corsheaders.E013) Origin '127.0.0.1:...
跨域访问(CORS与代理)
最新发布
islautao的博客
07-01 1713
CORS和代理都是解决跨域问题的常用方法,但是它们也有各自的优缺点。CORS是一种更简单和安全的方法,但是它需要服务器端的支持和配置。代理是一种更灵活和强大的方法,但是它需要额外的网络开销和中间层的维护。
cors 跨域
weixin_42368421的博客
08-21 155
我们使用CORS来解决后端对跨域访问的支持。 使用django-cors-headers扩展 文档 安装 pip install django-cors-headers 添加应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 中间层设置 MIDDLEWARE = [ 'corsheaders.m...
跨域请求(资源)十一种请求方式
点点的博客
04-12 2699
一、什么是跨域请求 由于浏览器同策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表: 二、解决跨域方法 1、JSONP 1) JSONP原理 利用<script> 标签没有跨域限制的漏洞,网页可以得到从其他来动态产生的 JSON 数据。JSONP请求一定需要对方的服务器做支持才可以。 注意:JSONP都是GET和异步请求的,不存...
JavaScript跨域访问解决方案:AJAX实例与Java处理
"在JavaScript开发过程中,处理跨域访问是一项常见的任务。由于浏览器的安全策略(同策略),JavaScript默认不允许脚本来自不同服务器发起请求,这在与Web后台交互时可能会引发问题。本文将详细介绍如何使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值