Django跨域问题

简介

由于本站以及很大部分项目都是前后端分离模式,前后端所配置的域名并不相同,所以会受到浏览器的同源策略限制,导致不能正确的请求资源,以下内容先用最简单的方法实现Django后端的跨域问题解决,后续原理再慢慢补充

实现跨域(省流版)

  1. 安装core依赖
shell 复制代码
pip install django-cors-headers
  1. 声明app
    在settings.py INSTALLED_APPS元组中添加 corsheaders
python 复制代码
INSTALLED_APPS = [   
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
		...
    'corsheaders',
]
  1. 引入中间件
python 复制代码
MIDDLEWARE = [  
 'corsheaders.middleware.CorsMiddleware',  
 'django.middleware.security.SecurityMiddleware',  
 ...  
]

中间件位置问题

'corsheaders.middleware.CorsMiddleware'这一行,位置尽量靠前些,这是网上比较推荐的做法,所以我个人将它摆放在第一排

  1. 添加CORS配置
python 复制代码
# 跨域配置

CORS_ALLOW_CREDENTIALS = True
# 开发环境可以用,生产环境强烈不建议
CORS_ORIGIN_ALLOW_ALL = True # 允许所有源访问,仅在开发时使用 

# 生产环境建议这样试试
CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOWED_ORIGINS = [  
    "http://example.com",  
    "https://www.example.com",  
] 

CORS_ALLOW_METHODS = (
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
    'VIEW',
)

# 请求头配置
CORS_ALLOW_HEADERS = (
    'accept',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
    'token'
)

以上是DRF跨域的基本实现,和网上大部分参考资料都差不太多,以下是一些理论上的东西,如果只是为了解决项目问题那不用看,比较干巴

一些理论上的东西

什么是CORS

CORS(Cross-Origin Resource Sharing)是一种浏览器技术的规范,也被称为跨域资源共享。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持,所有现代浏览器都支持此功能,但老旧的浏览器(如IE9及以下版本)可能不支持或支持有限。

CORS的工作机制如下:

请求头中的Origin字段:当浏览器发出一个跨域请求时,它会在请求头中携带一个Origin字段,这个字段指明了请求的来源(协议 + 域名 + 端口)。

响应头中的CORS字段:服务器在接收到请求后,会检查请求的Origin字段,并根据其配置决定是否允许该跨域请求。如果允许,服务器会在响应头中添加相应的CORS字段,如Access-Control-Allow-Origin ,来指明哪些源可以访问该资源。

浏览器的处理:浏览器在接收到响应后,会检查响应头中的CORS字段,并根据其值决定是否接受响应。如果请求的源被允许,则浏览器会接受响应并继续处理;否则,浏览器会抛出一个错误,并阻止响应的进一步处理。

CORS的两种请求类型包括简单请求和非简单请求(也称为预检请求)。对于简单请求,浏览器直接发出CORS请求;对于非简单请求,浏览器会先发出一个OPTIONS请求(预检请求),询问服务器是否允许这个跨域请求。如果服务器允许,浏览器才会发出实际的跨域请求。

综上所述,CORS是一种重要的浏览器安全机制,它允许前端应用安全地访问后端API,实现跨域的数据交换和功能实现。在DRF等Web框架中,通过配置CORS策略,可以灵活地控制哪些源可以访问后端资源,从而保护应用的安全性。

个人网站链接:www.simplespace.site

相关推荐
算法小白(真小白)1 小时前
低代码软件搭建自学第二天——构建拖拽功能
python·低代码·pyqt
唐小旭1 小时前
服务器建立-错误:pyenv环境建立后python版本不对
运维·服务器·python
007php0071 小时前
Go语言zero项目部署后启动失败问题分析与解决
java·服务器·网络·python·golang·php·ai编程
Chinese Red Guest2 小时前
python
开发语言·python·pygame
骑个小蜗牛2 小时前
Python 标准库:string——字符串操作
python
黄公子学安全4 小时前
Java的基础概念(一)
java·开发语言·python
程序员一诺5 小时前
【Python使用】嘿马python高级进阶全体系教程第10篇:静态Web服务器-返回固定页面数据,1. 开发自己的静态Web服务器【附代码文档】
后端·python
小木_.5 小时前
【Python 图片下载器】一款专门为爬虫制作的图片下载器,多线程下载,速度快,支持续传/图片缩放/图片压缩/图片转换
爬虫·python·学习·分享·批量下载·图片下载器
isSamle6 小时前
使用Vue+Django开发的旅游路书应用
前端·vue.js·django