Django cors跨域问题

Django cors跨域问题

前后端分离项目中的跨域问题 即同源策略
同源策略：同源策略/SOP（Same origin policy）是一种约定，由 Netscape 公司 1995 年引入浏览器，它是浏览器最核心也最基本的安全功能，现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略，浏览器很容易受到 XSS、 CSFR 等攻击。
同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个 ip 地址，也非同源。
源就是协议、域名和端口号。
协议：http,https
跨域：前端请求URL的协议、域名、端口与前端页面URL不同就是跨域

在Django中解决跨域问题

一、

1. # 1、安装第三方库 django-cors-headers
2. # 2、在settings.py中添加'corsheaders.middleware.CorsMiddleware',在SessionMiddleware和CommonMiddleware的中间
3. # 3、在INSTALLED_APPS里添加“corsheaders”
5. INSTALLED_APPS = [
6.     'search.apps.SearchConfig',
7.     'data.apps.DataConfig',
8.     'record_data.apps.RecordDataConfig',
9.     'deleted_data.apps.DeletedDataConfig',
10.     'mgmt.apps.MgmtConfig',
11.     'c_test.apps.CTestConfig',
12.     'rest_framework',
13.     'django.contrib.admin',
14.     'django.contrib.auth',
15.     'django.contrib.contenttypes',
16.     'django.contrib.sessions',
17.     'django.contrib.messages',
18.     'django.contrib.staticfiles',
19.     'corsheaders',  # 新增
20. ]
22. # 4、在中间件中添加corsheaders.middleware.CorsMiddleware,django.middleware.common.CommonMiddleware
24. MIDDLEWARE = [
25.     # 'utils.middleware.ExceptionMiddleware',
26.     'django.middleware.security.SecurityMiddleware',
27.     'django.contrib.sessions.middleware.SessionMiddleware',
28.     'corsheaders.middleware.CorsMiddleware',  # 新增/必须在common中间件上面
29.     'django.middleware.common.CommonMiddleware',
30.     # 'django.middleware.csrf.CsrfViewMiddleware',
31.     'django.contrib.auth.middleware.AuthenticationMiddleware',
32.     'django.contrib.messages.middleware.MessageMiddleware',
33.     'django.middleware.clickjacking.XFrameOptionsMiddleware',
34. ]
36. # 5、在settings.py底部增加
38. CORS_ALLOW_CREDENTIALS = True  # 允许携带cookie
39. CORS_ORIGIN_ALLOW_ALL = True  # 放行所有
40. CORS_ORIGIN_WHITELIST = ('*')  # 白名单
42. # CORS_ALLOW_METHODS：字符串列表，允许用哪些HTTP请求方法。
43. CORS_ALLOW_METHODS = (
44.     'DELETE',
45.     'GET',
46.     'OPTIONS',
47.     'PATCH',
48.     'POST',
49.     'PUT',
50.     'VIEW',
51. )
53. # CORS_ALLOW_HEADERS：字符串列表，允许使用哪些非标准HTTP请求头。
54. CORS_ALLOW_HEADERS = (
55.     'accept',
56.     'accept-encoding',
57.     'authorization',
58.     'content-type',
59.     'dnt',
60.     'origin',
61.     'user-agent',
62.     'x-csrftoken',
63.     'x-requested-with',
64. )

复制代码

二、

1. # 可以自己注册一个中间件，在中间件process_response方法中对response进行封装
2. def process_response(self, request, response):
3.     response["Content-Type"] = "application/json"  # 响应信息的内容格式
4.     response["Access-Control-Allow-Origin"] = "*"  # 允许跨域请求的源地址， * 表示：允许所有地址
5.     response["Access-Control-Allow-Methods"] = "POST, GET, OPTIONS"  # 允许跨域请求的具体方法
6.     response["Access-Control-Max-Age"] = "1000"  # 用来指定本次预检请求的有效期，单位为秒，，在此期间不用发出另一条预检请求。
7.     response["Access-Control-Allow-Headers"] = "*"
8.     return response

复制代码

• 跨域实现流程为
  1、浏览器会第一次先发送options请求询问后端是否允许跨域，后端查询白名单中是否有这两个域名
  2、如过域名在白名单中则在响应结果中告知浏览器允许跨域
  3、浏览器第二次发送post请求，携带用户登录数据到后端，完成登录验证操作
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！