跨域問題
第1章 同源策略
同源策略是一種約定,他是瀏覽器中最核心也是最基本的安全功能,請求的URL地址,必須和瀏覽器上的URL地址處於同域上,也就是同域名/端口/協議
比如,在本地上的域名是127.0.0.1:8000請求另外一個域名127.0.0.1:8090,瀏覽器就會報錯
第2章 CORS(跨域資源共享)簡介
CORS需要瀏覽器和服務器的同時支持,目前,所有瀏覽器都支持該功能
整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與進來,對於開發者來說,CORS通信與AJAX通信沒有差別,代碼完全一樣,瀏覽器一旦發現AJAX請求跨域,就會自動添加一些附加的頭部信息,有時還會多附加一次請求,但是用戶不會有感覺,因此,實現呢CORS通信的關鍵是服務器,只要服務器實現了CORS接口,就可以跨域
第3章 CORS基本流程
3.1 瀏覽器將CORS請求分爲兩類:
簡單請求:只需要在頭信息中增加一個Origin字段
非簡單請求:會在正式通信之前,增加一個http查詢請求,稱爲預檢請求,瀏覽器先詢問服務器,當前所在頁面的域名是否在服務器的白名單中,以及可以使用哪些HTTP動詞和頭信息字段,只有的到肯定的答覆,瀏覽器纔會正式發出XMLHttpRequest請求,否則報錯
第4章 CORS兩種請求詳解
4.1 只要同時滿足以下兩大條件,就屬於簡單請求:
1. 請求方法是以下三種方法之一:
HEAD
GET
POST
2. HTTP的頭信息不超出以下幾種字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
4.2 不滿足以上兩大條件的就屬於非簡單請求:
3. 簡單請求和非簡單請求的區別:
簡單請求:一次請求
非簡單請求:兩次請求,在發送數據之前會先發一次用於做預檢,只有預檢通過後,纔再發送一次請求用於數據傳輸
4. 關於預檢:
請求方式爲:OPTIONS
預檢其實就是做檢查,檢查通過才允許數據傳輸
如何預檢:如果複雜請求是PUT等請求,則服務端需要設置允許某請求,否則預檢不通過,如果複雜請求設置了請求頭,則服務端需要設置允許某請求頭,否則不通過
5. 支持跨域,簡單請求
服務器設置響應頭:Access-Control-Allow-Origin = '域名' 或 '*'
6. 支持跨域,複雜請求
由於複雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則發送真實數據。
· “預檢”請求時,允許請求方式則需服務器設置響應頭:Access-Control-Request-Method
· “預檢”請求時,允許請求頭則需服務器設置響應頭:Access-Control-Request-Headers
第5章 Django中如何支持CORS
5.1 自寫中間件支持跨域:
在app下創建中間件py文件:
from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
def process_response(self,request,response):
if request.method=="OPTIONS":
#可以加*
response["Access-Control-Allow-Headers"]="Content-Type"
response["Access-Control-Allow-Origin"] = "*"
return response
在settings中增加中間件:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'app.crosMiddle.CorsMiddleWare',
]
5.2 局部允許跨域:
class LoginView(APIView):
def post(self, request, *args, **kwargs):
print(request)
data={
'status': 'error',
'currentAuthority': 'guest',
}
data['Access-Control-Allow-Origin']='*'
return Response(data, status=200)