django 结合 OPTIONS方法 处理跨域请求(单个视图方法中)
OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式。
既然比较少见,什么情况下会使用这个方法呢?
假设在 edx.open.com 域下发起了一个跨域的 POST 请求,期望提交数据到 api.sit.com 这个域名的服务器。
在进行发送POST请求前,会自动先发起一个 OPTIONS 请求,其请求头包含了的一些关键性字段:
1 OPTIONS /upload/ HTTP/1.1 2 Access-Control-Request-Method: POST 3 Access-Control-Request-Headers: accept, content-type 4 Origin: http://edx.open.com 5 ...
这种场景下,客户端发起的这个 OPTIONS 可以说是一个“预请求”,用于探测后续真正需要发起的跨域 POST 请求对于服务器来说是否是安全可接受的,因为跨域提交数据对于服务器来说可能存在很大的安全问题。
请求头 Access-Control-Request-Method 用于提醒服务器在接下来的请求中将会使用什么样的方法来发起请求。
那么在服务端应该如何处理这个 OPTIONS 请求呢?
响应上面的 OPTIONS 请求时,需要添加上用于访问控制的响应头。
响应头中关键性的字段:
1 Access-Control-Allow-Method: POST 2 Access-Control-Allow-Origin: http://edx.open.com
3 Access-Control-Allow-Headers: X-CSRFToken, Content-Type
Access-Control-Allow-Method 和 Access-Control-Allow-Origin 分别告知客户端,服务器允许客户端用于跨域的方法和域名。
完整处理流程如下:
一.在视图(我定义的是类视图)中定义OPTIONS方法: def options(self, request, *args, **kwargs)/获取请求头的 Access-Control-Request-Method 和 Origin 参数
1 method = request.META.get('Access-Control-Allow-Method')
2 origin = request.META.get('Origin')
二.在def options(self, request, *args, **kwargs) 方法中 设置响应头信息,返回response对象
1 response = Response() 2 response['Access-Control-Allow-Method'] = method # 支持那些请求方法,可以根据实际情况配置如 "POST, GET ,OPTIONS" 3 response['Access-Control-Allow-Origin'] = origin # 实际操作中本人无法获取请求头中的Origin参数,所以这里我实际上是配置成了 "*",但是不建议这样操作,后续会有问题,可以根据实际情况写成固定的也可以 "完整域名"
4 response["Access-Control-Allow-Headers"] = "X-CSRFToken, Content-Type" # 如果配置接收的请求头有遗漏,当发送OPTIONS方法成功后,发送正式请求时将会在浏览器报错,可以根据浏览器中consolo的报错内容添加进去即可, 我这里需要配置的就是这两个
5 return response
# OPTION方法定义完成后,还需要在正式的视图方法中的响应对象中配置一样的响应头信息,这里不再重复了,至此,该视图方法就支持跨域请求了。
# 需要留意的是,jquery发送OPTIONS请求时,默认将不会携带cookie信息,如果此时该视图需要进行登录验证(跨域请求,却要进行用户验证,这样的场景往往存在于支持单点登录功能的多个联合平台中,如天猫和淘宝), 这时就需要在发送请求时在请求头中进行相应的配置,具体这里就不细说了,想要了解 请点击这里
# 但是我参照这种方式进行配置,options请求方法返回的都是403,所以我的处理方式是在接口(使用drf插件进行接口开发,使用drf的验证功能 https://www.cnblogs.com/lowmanisbusy/p/8969771.html)注明允许所有用户访问,其实就相当于不进行登录验证,允许匿名用户进行访问(笔者所进行开发的项目如果不进行设置允许用户以何种身份方式进行访问,就会抛出异常),然后让前端传递一个用户名称给我,再使用这个数据到用户表查询自己想要的用户数据,实现功能
注意:
这里的OPTION方法中应该设置响应状态码为 204 是为了告知客户端表示该响应成功了,但是该响应并没有返回任何响应体,如果状态码为 200,还得携带多余的响应体,在这种场景下是完全多余的,只会浪费流量。
三.这里只是实现了单个视图支持跨域请求,要实现全局支持跨域请求请点击: https://www.cnblogs.com/lowmanisbusy/p/9589432.html