一、同源策略
同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現
請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,端口,協議相同.
比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名:127.0.0.1:8001一段數據
瀏覽器上就會報錯,這個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那么一些重要的機密網站將會很危險
已攔截跨源請求:同源策略禁止讀取位於 http://127.0.0.1:8001/SendAjax/ 的遠程資源。(原因:CORS 頭缺少 'Access-Control-Allow-Origin')。
但是注意,項目2中的訪問已經發生了,說明是瀏覽器對非同源請求返回的結果做了攔截
二、CORS(跨域資源共享)簡介
CORS需要瀏覽器和服務器同時支持。目前,所有瀏覽器都支持該功能,IE瀏覽器不能低於IE10。
整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與。對於開發者來說,CORS通信與同源的AJAX通信沒有差別,代碼完全一樣。瀏覽器一旦發現AJAX請求跨源,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求,但用戶不會有感覺。
因此,實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口,就可以跨源通信
三、CORS基本流程
瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。
瀏覽器發出CORS簡單請求,只需要在頭信息之中增加一個Origin字段。
瀏覽器發出CORS非簡單請求,會在正式通信之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。瀏覽器先詢問服務器,當前網頁所在的域名是否在服務器的許可名單之中,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。
四、CORS兩種請求詳解
只要同時滿足以下兩大條件,就屬於簡單請求。
(1)請求方法是以下三種方法之一:
-
- HEAD
- GET
- POST
(2)HTTP的頭信息不超出以下幾種字段:
-
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同時滿足上面兩個條件,就屬於非簡單請求。
瀏覽器對這兩種請求的處理,是不一樣的。
* 簡單請求和非簡單請求的區別? 簡單請求:一次請求 非簡單請求:兩次請求,在發送數據之前會先發一次請求用於做“預檢”,只有“預檢”通過后才再發送一次請求用於數據傳輸。 * 關於“預檢” - 請求方式:OPTIONS - “預檢”其實做檢查,檢查如果通過則允許傳輸數據,檢查不通過則不再發送真正想要發送的消息 - 如何“預檢” => 如果復雜請求是PUT等請求,則服務端需要設置允許某請求,否則“預檢”不通過 Access-Control-Request-Method => 如果復雜請求設置了請求頭,則服務端需要設置允許某請求頭,否則“預檢”不通過 Access-Control-Request-Headers
4.1 支持跨域,簡單請求:
服務器設置響應頭:Access-Control-Allow-Origin = '域名' 或 '*'
4.2 支持跨域,復雜請求:
由於復雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則發送真實數據。
-
- “預檢”請求時,允許請求方式則需服務器設置響應頭:Access-Control-Request-Method
- “預檢”請求時,允許請求頭則需服務器設置響應頭:Access-Control-Request-Headers
五、Django項目中支持CORS
在返回的結果中加入允許信息(簡單請求)
def test(request):
import json
obj = HttpResponse(json.dumps({'name': 'lqz'}))
# obj['Access-Control-Allow-Origin']='*'
obj['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8004'
return obj
放到中間件處理復雜和簡單請求:
from django.utils.deprecation import MiddlewareMixin class CorsMiddleWare(MiddlewareMixin): def process_response(self, request, response): if request.method == "OPTIONS": # 可以加* response["Access-Control-Allow-Headers"] = "Content-Type" response["Access-Control-Allow-Origin"] = "http://localhost:8080" return response
六、利用django-cors-headers模塊處理
1.安裝cors模塊
pip install django-cors-headers
2.修改setting.py中配置
INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', 'corsheaders', ] MIDDLEWARE_CLASSES = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'corsheaders.middleware.CorsMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
3.添加允許訪問的白名單,凡是出現在白名單的域名都可以訪問后端接口
CORS_ORIGIN_WHITELIST = ( '127.0.0.1:8080', 'localhost:8080', )
CORS_ALLOW_CREDENTIALS = True # 指明在跨域訪問中,后端是否支持對cookie的操作。 CORS_ALLOW_METHODS = ( 'DELETE', 'GET', 'OPTIONS', 'PATCH', 'POST', 'PUT', 'VIEW', ) CORS_ALLOW_HEADERS = ( 'XMLHttpRequest', 'X_FILENAME', 'accept-encoding', 'authorization', 'content-type', 'dnt', 'origin', 'user-agent', 'x-csrftoken', 'x-requested-with', 'Pragma', )
七、通過jsonp處理跨域(基於原生js)
注意:jsonp只能模擬get請求處理跨域
1、jsonp介紹
jsonp是json用來跨域的一個東西。原理是通過script標簽的跨域特性來繞過同源策略。下面介紹一個jsonp基本實現原理,即利用script特性實現跨域請求,如下實例:
2、基於JS的JSONP的實現
一般情況下,我們希望這個script標簽能夠動態的調用,我們可以通過頁面的觸發事件操作后,通過javascript動態的創建script標簽,這樣我們就可以靈活調用遠程服務。實例如下:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <h1>無配齊</h1> <input type="button" value="按鈕2" onclick="sendMsg2();" /> <script> function sendMsg2() { var tag = document.createElement('script'); tag.src = 'http://127.0.0.1:8001/api/?callback=x1'; document.head.appendChild(tag); document.head.removeChild(tag); }
// 動態回調函數 function x1(arg) { console.log(arg); } </script> <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.js"></script> <script></script> </body> </html>
為了更加靈活,上述我們將你自己在客戶端定義的回調函數的函數名傳送給服務端,服務端則會返回以你定義的回調函數名的方法,將獲取的json數據傳入這個方法完成回調。
from django.shortcuts import render, HttpResponse def api(request): # 獲取查詢字符串中的callback參數 func_name = request.GET.get('callback') return HttpResponse('%s("baidu.com")' % func_name)
八、通過jsonp處理跨域(基於jQuery中的getJSON方法)
基於jQuery框架也當然支持JSONP,可以使用$.getJSON(url,[data],[callback])方法。與js實現的方式相比,我們並不要自己生成一個script標簽,客戶端也並不需要自己定義一個回調函數,要注意的是在$.getJSON(url,[data],[callback])方法的url的后面必須添加一個callback參數,這樣getJSON方法才會知道是用JSONP方式去訪問服務,callback后面的那個問號是內部自動生成的一個回調函數名。
//項目中html中部分代碼 <script> $(".ajax_btn").click(function () { $.getJSON("http://127.0.0.1:8002/send_ajax/?callback=?",function (data) { alert(data); console.log(data) }) }); </script>
//項目中的視圖函數,即跨域請求的路徑 def send_ajax(request): import json func_name=request.GET.get("callback") #獲得回調函數的名字 dic={"k1":"v1"} print("ok") return HttpResponse("%s('%s')" %(func_name,json.dumps(dic)))
八、通過jsonp處理跨域(基於jQuery中的ajax方法)
上述這種方法,很方便,不需要我們自己定義回調函數和指定回調函數名,但是,如果說我們想指定自己的回調函數名,或者說服務上規定了固定回調函數名該怎么辦呢?我們可以使用$.ajax方法來實現。如下例:
//項目中html中部分代碼 <script> $(".ajax_btn").click(function () { $.ajax({ url:"http://127.0.0.1:8002/send_ajax/", dataType:"jsonp", //相當於script標簽 jsonp:'callbacks', //相當於路徑中回調函數路徑參數鍵值對的鍵 jsonpCallback:"func" //相當於路徑中回調函數路徑參數鍵值對的值,回調函數名 }) }); //定義回調函數 function func(arg) { alert(arg); console.log(arg) } </script>
//項目中的視圖函數,即跨域請求的路徑 def send_ajax(request): import json func_name=request.GET.get("callbacks") #獲得回調函數的名字 dic={"k1":"v1"} print("ok") return HttpResponse("%s('%s')" %(func_name,json.dumps(dic)))
其他方法詳見如下:
摘錄文章地址:https://www.zhangshengrong.com/p/9MNloW5naJ/
jsonp摘錄文章地址:https://www.cnblogs.com/seven-007/p/8206519.html