Django的跨域請求


一 同源策略

同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現

請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,端口,協議相同.

比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名:127.0.0.1:8001一段數據

瀏覽器上就會報錯,個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那么一些重要的機密網站將會很危險

已攔截跨源請求:同源策略禁止讀取位於 http://127.0.0.1:8001/SendAjax/ 的遠程資源。(原因:CORS 頭缺少 'Access-Control-Allow-Origin')。

但是注意,項目2中的訪問已經發生了,說明是瀏覽器對非同源請求返回的結果做了攔截

二 CORS(跨域資源共享)簡介

CORS需要瀏覽器和服務器同時支持。目前,所有瀏覽器都支持該功能,IE瀏覽器不能低於IE10。

整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與。對於開發者來說,CORS通信與同源的AJAX通信沒有差別,代碼完全一樣。瀏覽器一旦發現AJAX請求跨源,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求,但用戶不會有感覺。

因此,實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口,就可以跨源通信。

三 CORS基本流程

瀏覽器將CORS請求分成兩類:簡單請求(simple request)非簡單請求(not-so-simple request)。
瀏覽器發出CORS簡單請求只需要在頭信息之中增加一個Origin字段。
瀏覽器發出CORS非簡單請求會在正式通信之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。瀏覽器先詢問服務器,當前網頁所在的域名是否在服務器的許可名單之中,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。

四 CORS兩種請求詳解

只要同時滿足以下兩大條件,就屬於簡單請求

(1) 請求方法是以下三種方法之一:
HEAD GET POST2)HTTP的頭信息不超出以下幾種字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

創建兩個Django項目:簡單請求:get、application/x-www-form-urlencoded

mysite1項目---------127.0.0.0:8008    (8008向8006端口發送簡單請求)

  views.py

from django.shortcuts import render

# Create your views here.

def test(request):
    return render(request,'index.html')

  template/index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <script src="/static/jquery-3.3.1.js"></script>
    <title>Title</title>
</head>
<body>
<button id="mybutton">點我</button>
</body>
<script>

    $("#mybutton").click(function () {
        $.ajax({
            url:'http://127.0.0.1:8006/mytest', #向該ip端口發送一個get的簡單請求
            type:'get',
            success:function (data) {
                console.log(data)

            }

        })

    })
</script>
</html>

mysite2項目---------127.0.0.0:8006

  views.py

def mytest(request):
    import json
    print('111')
    obj = HttpResponse(json.dumps({'name': 'lqz'}))
    # if request.method=='OPTIONS':
    #     obj['Access-Control-Allow-Methods']='PUT'
    #     obj['Access-Control-Allow-Headers']='k1'
    #
    #
    # # obj['Access-Control-Allow-Origin']='http://127.0.0.1:8008'
    # obj['Access-Control-Allow-Origin']='*'
    return obj

就是由於同源策略被被瀏覽器阻止了,所以請求沒有成功返回數據(其實數據已經從服務器成功請求回來,只是由於同源策略請求成功的數據被瀏覽器阻止了)

凡是不同時滿足上面兩個條件,就屬於非簡單請求。

瀏覽器對這兩種請求的處理,是不一樣的。

* 簡單請求和非簡單請求的區別?

   簡單請求:一次請求
   非簡單請求:兩次請求,在發送數據之前會先發一次請求用於做“預檢”,只有“預檢”通過后才再發送一次請求用於數據傳輸。 * 關於“預檢”

- 請求方式:OPTIONS
- “預檢”其實做檢查,檢查如果通過則允許傳輸數據,檢查不通過則不再發送真正想要發送的消息
- 如何“預檢”
     => 如果復雜請求是PUT等請求,則服務端需要設置允許某請求,否則“預檢”不通過
        Access-Control-Request-Method
     => 如果復雜請求設置了請求頭,則服務端需要設置允許某請求頭,否則“預檢”不通過
        Access-Control-Request-Headers

支持跨域,簡單請求

服務器設置響應頭:Access-Control-Allow-Origin = '域名' 或 '*'

支持跨域,復雜請求

由於復雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則發送真實數據。

  • “預檢”請求時,允許請求方式則需服務器設置響應頭:Access-Control-Request-Method
  • “預檢”請求時,允許請求頭則需服務器設置響應頭:Access-Control-Request-Headers

五 Django項目中支持CORS

 在返回的結果中加入允許信息(簡單請求)

def test(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # obj['Access-Control-Allow-Origin']='*'
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
    return obj

 放到中間件處理復雜和簡單請求:

from django.utils.deprecation import MiddlewareMixin

class CorsMiddleWare(MiddlewareMixin):

    def process_response(self,request,response):

        if request.method=="OPTIONS":
            #不能加*
            response["Access-Control-Allow-Headers"]="Content-Type"

        response["Access-Control-Allow-Origin"] = "http://localhost:8080"

        return response

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM