1,什么是CORS

​   允许浏览器向跨源(协议 + 域名 + 端口)服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制

2,特点

​   1,浏览器自动完成(在请求头中加入特殊头 或 发送特殊请求)
​   2,服务器需要支持(响应头中需要有特殊头)

3,简单请求(Simple requests)和预检请求(Preflighted requests)
  满足以下全部条件的请求为简单请求
  1,请求方法如下:
​        GET or HEAD or POST
  2,请求头仅包含如下:
​      Accept
​      Accept-Language
​      Content-Language
​      Content-Type
​    3,Content-Type 仅支持如下三种:
​       application/x-www-form-urlencoded
​       multipart/form-data
​       text/plain
​    不满足以上任意一点的请求都是 预检请求

4,简单请求发送流程
  1,请求
​      请求头中 携带 Origin,该字段表明自己来自哪个域
  2,响应
​      如果请求头中的Origin在服务器接受范围内, 则返回如下头

响应头 作用 备注
Access-Control-Allow-Origin 服务器接受的域 必选
Access-Control-Allow-Credentials 是否接受Cookie 可选
Access-Control-Expose-Headers 默认情况下,xhr只能拿到如下响应头:Cache-Control,Content-Language,Content-Type,Expires,Last-Modified;如果有需要获取其他头,需在此指定 可选

  如果服务器不接受此域,则响应头中不包含 Access-Control-Allow-Origin

5,预检请求发送流程

  与前述简单请求不同,“需预检的请求”要求必须首先使用 OPTIONS方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。
  1,OPTIONS 请求发起,携带如下请求头

请求头 作用 备注
Origin 表明此请求来自哪个域 必选
Access-Control-Request-Method 此次请求使用方法 必选
Access-Control-Request-Headers 此次请求使用的头 必选

  2,OPTIONS 接受响应阶段,携带如下响应头

响应头 作用 备注
Access-Control-Allow-Origin 同简单请求 必选
Access-Control-Allow-Methods 告诉浏览器,服务器接受得跨域请求方法 必选
Access-Control-Allow-Headers 返回所有支持的头部,当request有 ‘Access-Control-Request-Headers’时,该响应头必然回复 必选
Access-Control-Allow-Credentials 同简单请求 可选
Access-Control-Max-Age OPTION请求缓存时间,单位s 可选

  3,主请求阶段

请求头 作用 备注
Origin 表明此请求来自哪个域  必选

  

  4,主请求响应阶段  

响应头 作用 备注
Access-Control-Allow-Origin 当前服务器接受的域  必选

6,Django支持
django-cors-headers官网 https://pypi.org/project/django-cors-headers/

  1)官网下载 tar.gz结尾的安装包
  2)将源码包粘贴至虚拟机
  3)执行 tar -zxvf django-cors-headers-3.0.2.tar.gz 解压
  4) cd 到解压后的目录 cd django-cors-headers-3.0.2
  5) sudo python3 setup.py install 执行安装
  6)pip3 freeze|grep 'cors' 检查是否安装成功;若屏幕输出 django-cors-headers==3.0.2 则安装成功

配置流程

  1,INSTALLED_APPS 中添加 corsheaders

  2,MIDDLEWARE 中添加 corsheaders.middleware.CorsMiddleware

         位置尽量靠前,官方建议 ‘django.middleware.common.CommonMiddleware’ 上方

  3,CORS_ORIGIN_ALLOW_ALL  布尔值  如果为True 白名单不启用

  4,CORS_ORIGIN_WHITELIST =[   白名单

        "https://example.com"

      ]

   5, CORS_ALLOW_METHODS = (

        'DELETE',

        'GET',

        'OPTIONS',

        'PATCH',

        'POST',

        'PUT',

        )

    6, CORS_ALLOW_HEADERS = (

        'accept-encoding',

        'authorization',

        'content-type',

        'dnt',

        'origin',

        'user-agent',

        'x-csrftoken',

        'x-requested-with',

         )

  7, CORS_PREFLIGHT_MAX_AGE  默认 86400s

  8, CORS_EXPOSE_HEADERS  []

  9, CORS_ALLOW_CREDENTIALS  布尔值, 默认False

  7、8、9项不用配置,全部采用默认值

Django CORS跨域资源共享的更多相关文章

  1. django上课笔记7-jQuery Ajax 和 原生Ajax-伪造的Ajax-三种Ajax上传文件方法-JSONP和CORS跨域资源共享

    一.jQuery Ajax 和 原生Ajax from django.conf.urls import url from django.contrib import admin from app01 ...

  2. CORS跨域资源共享

    CORS(跨域资源共享)跨域问题及解决 当使用ajax跨域请求时,浏览器报错:XmlHttpRequest error: Origin null is not allowed by Access-Co ...

  3. CORS跨域资源共享你该知道的事儿

    "唠嗑之前,一些客套话" CORS跨域资源共享,这个话题大家一定不陌生了,吃久了大转转公众号的深度技术好文,也该吃点儿小米粥溜溜胃里的缝儿了,今天咱们就再好好屡屡CORS跨域资源共 ...

  4. 在ASP.NET Web API中实现CORS(跨域资源共享)

    默认情况下,是不允许网页从不同的域访问服务器资源的,访问遵循"同源"策略的原则. 会遇到如下的报错: XMLHttpRequest cannot load http://local ...

  5. 跨域漏洞丨JSONP和CORS跨域资源共享

    进入正文之前,我们先来解决个小问题,什么是跨域? 跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 跨域常见的两种方式,分别是JSONP和CORS. 今天i ...

  6. 浅谈跨域问题,CORS跨域资源共享

    1,何为跨域? 在理解跨域问题之前,你先要了解同源策略和URL,简单叙述: 1)同源策略 三同:协议相同,域名相同,端口相同: 目的:保证用户信息安全,防止恶意网站窃取数据.同源策略是必须的,否则co ...

  7. Django cors跨域问题

    Django cors跨域问题 前后端分离项目中的跨域问题 即同源策略 同源策略:同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器 ...

  8. Node.js实现CORS跨域资源共享

    什么是CORS CORS(Cross-origin resource sharing),跨域资源共享,是一份浏览器技术的规范,用来避开浏览器的同源策略 简单来说就是解决跨域问题的除了jsonp外的另一 ...

  9. tomcat7.0配置CORS(跨域资源共享)

    平时我们做前台页面时可能会遇到浏览器以下提示(浏览器控制台): 已阻止跨源请求:同源策略禁止读取位于 http://xxx.xxx.com 的远程资源.(原因:CORS 头缺少 'Access-Con ...

随机推荐

  1. 7、purge_haplogs 基因组去冗余

    1.下载安装 https://bitbucket.org/mroachawri/purge_haplotigs/wiki/Install 1.Dependencies (in no particula ...

  2. Windows平台网站图片服务器架构的演进

    在主流的Web站点中,图片往往是不可或缺的页面元素,尤其在大型网站中,几乎都将面临“海量图片资源”的存储.访问等相关技术问题.在针对图片服务器的架构扩展中,也会历经很多曲折甚至是血泪教训(尤其是早期规 ...

  3. jquery点击按钮弹出图片

    <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8" ...

  4. express 设置允许跨域访问

    //demo const express = require('express'); const app = express(); //设置允许跨域访问该服务. app.all(’’, functio ...

  5. set unused

    使用 set unused 选项标记不再使用的列 使用 drop unsused columns 丢弃标记为unused的列 alter table tabName set unused column ...

  6. Mac sublime 安装包的时候出现 unable to download xxx (_ssl.c:548)

    Mac sublime 安装包的时候出现 unable to download xxx前置条件:[本文行文中,所使用的电脑环境为 mac](当然不排除,在其他系统下,依然可以采用这种解决方案) 今天想 ...

  7. Rust(一)介绍 安装

    目录 Rust安装 Rust介绍: Windows 安装步骤: Helle world 创建项目文件夹: 写并执行程序: Rust安装 安装过程简单快捷,直接参照官网即可,Rust安装 Rust介绍: ...

  8. ps:图层知识

    如果我们要改变下左图上方的蓝色小球位置,就需要先创建一个符合小球大小的选区,这并不困难,可以使用椭圆选框工具来创建一个正圆的选区(可通过[空格 CTRL 单击图像]放大图像).之后使用移动工具移动选区 ...

  9. 【CF】38E Let's Go Rolling! (dp)

    前言 这题还是有点意思的. 题意: 给你 \(n\) (\(n<=3000\)) 个弹珠,它们位于数轴上.给你弹珠的坐标 \(x_i\) 在弹珠 \(i\) 上面花费 \(C_i\) 的钱 可以 ...

  10. -bash: findstr: command not found 问题解决

    今天有个任务,需要获取apk的版本信息,百度之后说是之下下面的命令就行 adb shell dumpsys package com.baidu.searchbox | findstr versionC ...