要解决跨域问题首先要了解同源以及非同源:
浏览器同源策略是:协议、主机ip 和 端口port 都相同的两个地址是同源地址,否则是非同源地址.
现在大多都是前后端分离的情况, 前端和后端分处不同的域名, 浏览器会限制脚本内部发送跨域请求, 当需要跨域的时候, 浏览器会发送一个options请求, 这个请求的意义就是预先查询需要跨域访问的站点是否支持允许跨域请求,如果不支持, 则会报CORS的错误
就比如,某位用户接收到不知名站点传来的页面,里面包含了一个
ajxs请求, 请求的地址是我们的服务器接口, 这时浏览器会首先发送一个options请求, 从哪里的host访问我们的接口, 如果我们的服务器支持跨域请求且来源host在我们设置的白名单内, 用户便进行下一步访问,随之ajxs请求我们服务器接口
Django要解决跨域问题可以使用 Django-cors-headers 扩展类:
- 安装:
pip install django-cors-headers
- 在settings注册应用
INSTALLED_APPS = (
...
'corsheaders',
...
)
- 中间层设置
MIDDLEWARE = [
...
'corsheaders.middleware.CorsMiddleware',
...
]
- 添加白名单
# 添加 django-cors-headers 的白名单, 使白名单中的 host 可以进行跨域请求
CORS_ORIGIN_WHITELIST = (
# 白名单:
'127.0.0.1:8080',
'localhost:8080',
'127.0.0.1:8081',
'localhost:8081',
'localhost:8000',
'127.0.0.1:8000'
# 添加白名单
'www.baidu.com:8080'
)
- 允许白名单中的host可以跨域携带cookie
CORS_ALLOW_CREDENTIALS = True
