跨域问题

什么是跨域:

浏览器的同源策略:

请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同,浏览器拒绝不是当前域域返回的数据

如果缺少同源策略,浏览器很容易受到XSS,CSFR等攻击


通常情况下,A网页访问B服务器资源时,不满足以下三个条件其一就是跨域访问
1. 协议不同
2. 端口不同
3. 主机不同

同源策略限制以下几种行为:

1.Cookie、LocalStorage、IndexDB无法读取

2.DOM和JS对象无法获得

3.AJAX请求不能发送

 

如何解决:
CORS:跨域资源共享

 

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。


简单请求:发一次请求

解决简单的跨域问题:

http://127.0.0.1:8000 向 http://127.0.0.1:8001端口发请求 http://127.0.0.1:8001端口设置 obj=HttpResponse('数据') obj['Access-Control-Allow-Origin']='http://127.0.0.1:8000' return obj

 

非简单请求

非简单请求是发送了两次请求,第一次是预检请求(OPTIONS请求),

当预检通过,允许我发请求,再发送真实的请求

 

同时满足以下两大条件,就是简单请求:
(1) 请求方法是以下三种方法之一: HEAD GET POST 2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

 

django中解决跨域问题:

安装django-cors-headers模块

在settings.py中配置
# 注册app
INSTALLED_APPS = [
    ...
    'corsheaders'
]
# 添加中间件
MIDDLEWARE = [
    ...
    'corsheaders.middleware.CorsMiddleware'
]
# 允许跨域源
CORS_ORIGIN_ALLOW_ALL = True

 


解决跨域问题:(写好这个中间件注册一下)

class MyCorsMiddle(MiddlewareMixin):
def process_response(self, request, response): if request.method == 'OPTIONS': # 允许它 response['Access-Control-Allow-Headers'] = 'Content-Type' # obj['Access-Control-Allow-Headers']='*' # obj['Access-Control-Allow-Origin']='http://127.0.0.1:8000' response['Access-Control-Allow-Origin'] = '*' return response

 

posted @ 2019-07-08 17:20  不忘初心❤  阅读(155)  评论(0编辑  收藏  举报