[Django与cors]Django中的跨域请求

我们在用Django框架编写后端服务器的时候,总会遇到如下问题(No Access-Control-Allow-Origin header is present on the requested resource.)。


跨域请求的错误!

为什么会出现这种问题呢?因为我们在后台访问的时候涉及到了在不同的域名下去获取资源。一般都是由于CORS跨域验证机制设置不正确导致的。

先说怎么去解决这种问题:

在Django中我们可以在settings中去设置一些参数。
首先你需安装Django中跨域的中间件:

首先我们需要安装Django
然后在去安装Django-cors-headers
方法:
pip install django-cors-headers

安装好之后我们需要去settings中去注册app。
INSTALLED_APPS = [
          .....
        'corsheaders'
        .......    
]

接下来我们需要在中间件中使用我们的cors跨域的中间件(在此需要注意一下,在Django的1.11版本中,中间件的变量名是MIDDLEWARE,在1.9版本中是MIDDLEWARE_CLASSES,所以说要注意这两种区别):
MIDDLEWARE = [
      'corsheaders.middleware.CorsMiddleware',
      'django.middleware.security.SecurityMiddleware',
      'django.middleware.common.CommonMiddleware',
]

# 跨域请求是否携带cookies
CORS_ALLOW_CREDENTIALS = True

# 添加请求的白名单:
CORS_ORIGIN_WHITELIST = [
  'http://127.0.0.1:8080',
  'http://localhost:8000',
  'http://www.meiduo.site:8000',
  'http://api.meiduo.site.:8000'
  ]

什么是CORS呢?(Corss-Origin Resource Sharing 跨资源共享),也就是说当我们的请求与当前的页面的地址不同即为跨域。(包括协议,域名,端口等)。


跨域访问资源

可以看到的是我们去访问一个页面的时候,我们页面的访问的地址是jd.com,但有的时候的资源却放在另外一个资源路径下,这写图片的存放地址是360buy.com。最明显的就是京东的案例。

下面我们详细的说一下专业术语:

Same Origin Policy:同源策略,尤其是JavaScript,是对于客户端的脚本访问的一种安全标准。同源策略的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在本地的一个独立的环境中时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。其实也是一种出于安全的考虑。
说简单一点,就是浏览器在访问一个服务器的资源的时候,这个网站内不能去请求其他网站的资源,除非他们由相同的域名。或者是相同的协议,以及相同的主机名以及端口。否则的话,是不被允许的,但是在大型的网站中他的资源肯定是放在不同的服务器上,有文件服务器,有视频音频服务器,有数据图片服务器等。为了解决这种限制资源访问的问题,就出现了CORS。

cors的运行流程。
我们在访问一些网站主体的时候,例如网站是www.niubi.com.但是网站的图片是从data.com返回的。其实在页面中的实现过程是这样的。

function getdata{
    var request = new XMLHttpRequest();
    request.open('GET','http://data.com',true)
    request.onreadystatechange  = handler;
    request.send();
}

在运行了这个网页的文件加载到本地之后,就向数据服务器去发送请求,返回这些数据。

请求如下:
GET / HTTP/1.1
host: data.com
......
refer : http://niubi.com  # 也就是说数据从哪里来的。
Origin:http:niubi.com # 原来的请求的域名

我们在一个支持CORS协议的服务器会给我们如下答复。可以看到的是响应头中有一个值得注意的 Access-Control-Allow-Origin,这个响应头中记录的是可以访问数据资源的域名。如果存在Access-Control-Allow-Origin,则就说明浏览器知道这是一个可以跨域访问的,从而不会在根据Same Origin Policy来限制浏览器的跨域访问。其实整个流程看起来没有什么区别。只是多了一个请求的过程,根据响应来看是否允许浏览器来支持跨域访问。

响应如下:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://ambergarden.com
Content-Type: application/xml
[Payload Here]
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 跨域请求CORS
    前沿: 最近总听到同事聊跨域得问题,于是自己抽空仔细的查阅了一下关于跨域的知识。说到跨域,就得提到同源,跨域是指一...
    戈弋图阅读 1,838评论 0 4
  • 进阶13:同源策略及跨域
    题目1.什么是同源策略? 同源策略(Same origin Policy): 浏览器出于安全方面的考虑,只允许与本...
    FLYSASA阅读 1,746评论 0 6
  • 详解跨域
    什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    Yaoxue9阅读 1,320评论 0 6
  • 什么是跨域请求以及实现跨域的方案
    前言:对于跨域请求,很早之前就有去了解过,但因为一直关注的都是服务器后端开发,故也就仅仅停留在概念的理解上而没有机...
    ken_ljq阅读 89,870评论 6 128
  • 详解跨域
    什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    他方l阅读 1,075评论 0 2