跨域問題

跨域問題

第1章 同源策略

同源策略是一種約定，他是瀏覽器中最核心也是最基本的安全功能，請求的URL地址，必須和瀏覽器上的URL地址處於同域上，也就是同域名/端口/協議

比如，在本地上的域名是127.0.0.1:8000請求另外一個域名127.0.0.1:8090，瀏覽器就會報錯

第2章 CORS（跨域資源共享）簡介

CORS需要瀏覽器和服務器的同時支持，目前，所有瀏覽器都支持該功能

整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與進來，對於開發者來說，CORS通信與AJAX通信沒有差別，代碼完全一樣，瀏覽器一旦發現AJAX請求跨域，就會自動添加一些附加的頭部信息，有時還會多附加一次請求，但是用戶不會有感覺，因此，實現呢CORS通信的關鍵是服務器，只要服務器實現了CORS接口，就可以跨域

第3章 CORS基本流程

3.1 瀏覽器將CORS請求分爲兩類：

簡單請求：只需要在頭信息中增加一個Origin字段

非簡單請求：會在正式通信之前，增加一個http查詢請求，稱爲預檢請求，瀏覽器先詢問服務器，當前所在頁面的域名是否在服務器的白名單中，以及可以使用哪些HTTP動詞和頭信息字段，只有的到肯定的答覆，瀏覽器纔會正式發出XMLHttpRequest請求，否則報錯

第4章 CORS兩種請求詳解

4.1 只要同時滿足以下兩大條件，就屬於簡單請求：

1.      請求方法是以下三種方法之一：

HEAD

GET

POST

2.      HTTP的頭信息不超出以下幾種字段：

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

4.2 不滿足以上兩大條件的就屬於非簡單請求：

3.      簡單請求和非簡單請求的區別：

       簡單請求：一次請求

       非簡單請求：兩次請求，在發送數據之前會先發一次用於做預檢，只有預檢通過後，纔再發送一次請求用於數據傳輸

4.      關於預檢：

       請求方式爲：OPTIONS

       預檢其實就是做檢查，檢查通過才允許數據傳輸

       如何預檢：如果複雜請求是PUT等請求，則服務端需要設置允許某請求，否則預檢不通過，如果複雜請求設置了請求頭，則服務端需要設置允許某請求頭，否則不通過

 

5.      支持跨域，簡單請求

服務器設置響應頭：Access-Control-Allow-Origin = '域名' 或 '*'

6.      支持跨域，複雜請求

由於複雜請求時，首先會發送“預檢”請求，如果“預檢”成功，則發送真實數據。

·       “預檢”請求時，允許請求方式則需服務器設置響應頭：Access-Control-Request-Method

·       “預檢”請求時，允許請求頭則需服務器設置響應頭：Access-Control-Request-Headers

第5章 Django中如何支持CORS

5.1 自寫中間件支持跨域：

在app下創建中間件py文件：

from django.utils.deprecation import MiddlewareMixin

class CorsMiddleWare(MiddlewareMixin):
    def process_response(self,request,response):
        if request.method=="OPTIONS":
            #可以加*
            response["Access-Control-Allow-Headers"]="Content-Type"
        response["Access-Control-Allow-Origin"] = "*"
        return response

在settings中增加中間件：

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'app.crosMiddle.CorsMiddleWare',
]

5.2 局部允許跨域：

class LoginView(APIView):
    def post(self, request, *args, **kwargs):
        print(request)
        data={
        'status': 'error',
        'currentAuthority': 'guest',
        }
        data['Access-Control-Allow-Origin']='*'
        return Response(data, status=200)