同源策略介紹
同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響,可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實作
請求的url地址,必須與瀏覽器上的url地址處于同域上,也就是域名,埠,協議相同.
比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名:127.0.0.1:8001一段資料
瀏覽器上就會報錯,個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那么一些重要的機密網站將會很危險
已攔截跨源請求:同源策略禁止讀取位于 http://127.0.0.1:8001/SendAjax/ 的遠程資源,(原因:CORS 頭缺少 'Access-Control-Allow-Origin'),
但是注意,專案2中的訪問已經發生了,說明是瀏覽器對非同源請求回傳的結果做了攔截
CORS跨域資源共享介紹
CORS需要瀏覽器和服務器同時支持,目前,所有瀏覽器都支持該功能,IE瀏覽器不能低于IE10,
整個CORS通信程序,都是瀏覽器自動完成,不需要用戶參與,對于開發者來說,CORS通信與同源的AJAX通信沒有差別,代碼完全一樣,瀏覽器一旦發現AJAX請求跨源,就會自動添加一些附加的頭資訊,有時還會多出一次附加的請求,但用戶不會有感覺,
因此,實作CORS通信的關鍵是服務器,只要服務器實作了CORS介面,就可以跨源通信,
CORS基本流程
瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request),
瀏覽器發出CORS簡單請求,只需要在頭資訊之中增加一個Origin欄位,
瀏覽器發出CORS非簡單請求,會在正式通信之前,增加一次HTTP查詢請求,稱為”預檢”請求(preflight),瀏覽器先詢問服務器,當前網頁所在的域名是否在服務器的許可名單之中,以及可以使用哪些HTTP動詞和頭資訊欄位,只有得到肯定答復,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯,
CORS兩種請求詳解
只要同時滿足以下兩大條件,就屬于簡單請求,
(1) 請求方法是以下三種方法之一:
HEAD
GET
POST
(2)HTTP的頭資訊不超出以下幾種欄位:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同時滿足上面兩個條件,就屬于非簡單請求,
瀏覽器對這兩種請求的處理,是不一樣的,
* 簡單請求和非簡單請求的區別?
簡單請求:一次請求
非簡單請求:兩次請求,在發送資料之前會先發一次請求用于做“預檢”,只有“預檢”通過后才再發送一次請求用于資料傳輸,
* 關于“預檢”
- 請求方式:OPTIONS
- “預檢”其實做檢查,檢查如果通過則允許傳輸資料,檢查不通過則不再發送真正想要發送的訊息
- 如何“預檢”
=> 如果復雜請求是PUT等請求,則服務端需要設定允許某請求,否則“預檢”不通過
Access-Control-Request-Method
=> 如果復雜請求設定了請求頭,則服務端需要設定允許某請求頭,否則“預檢”不通過
Access-Control-Request-Headers
支持跨域,簡單請求
服務器設定回應頭:Access-Control-Allow-Origin = ‘域名’ 或 ‘*’
支持跨域,復雜請求
由于復雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則發送真實資料,
- “預檢”請求時,允許請求方式則需服務器設定回應頭:Access-Control-Request-Method
- “預檢”請求時,允許請求頭則需服務器設定回應頭:Access-Control-Request-Headers
Django專案中支持CORS
在回傳的結果中加入允許資訊(簡單請求)
def test(request):
import json
obj=HttpResponse(json.dumps({'name':'lqz'}))
# obj['Access-Control-Allow-Origin']='*' 所有的都可以通過
obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004' #只針對該域名通過
return obj
放到中間件處理復雜和簡單請求:
from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
def process_response(self,request,response):
if request.method=="OPTIONS":
#可以加*
response["Access-Control-Allow-Headers"]="Content-Type"
response["Access-Control-Allow-Origin"] = "http://localhost:8080"
return response
django 使用django-cors-headers 解決跨域問題
1、使用pip安裝
pip install django-cors-headers
2、添加到setting的app中
INSTALLED_APPS = (
...
'corsheaders',
...
)
3、添加中間件
MIDDLEWARE = [ # Or MIDDLEWARE_CLASSES on Django < 1.10
...
'corsheaders.middleware.CorsMiddleware',
'django.middleware.common.CommonMiddleware',
...
]
4、setting下面添加下面的配置
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = (
'*'
)
CORS_ALLOW_METHODS = (
'DELETE',
'GET',
'OPTIONS',
'PATCH',
'POST',
'PUT',
'VIEW',
)
CORS_ALLOW_HEADERS = (
'XMLHttpRequest',
'X_FILENAME',
'accept-encoding',
'authorization',
'content-type',
'dnt',
'origin',
'user-agent',
'x-csrftoken',
'x-requested-with',
'Pragma',
)
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/523080.html
標籤:Python