一、同源策略

同源策略：是瀏覽器最核心最基本的安全功能，即請求的url地址必須跟瀏覽器上的url地址處於同域上（域名、埠、協議都相同）

二、CORS（跨域資源共享）簡介

CORS需要瀏覽器和伺服器同時支援。目前，所有瀏覽器都支援該功能，IE瀏覽器不能低於IE10。

整個CORS通訊過程，都是瀏覽器自動完成，不需要使用者參與。對於開發者來說，CORS通訊與同源的AJAX通訊沒有差別，程式碼完全一樣。瀏覽器一旦發現AJAX請求跨源，就會自動新增一些附加的頭資訊，有時還會多出一次附加的請求，但使用者不會有感覺。

因此，實現CORS通訊的關鍵是伺服器。只要伺服器實現了CORS介面，就可以跨源通訊。

三、CORS基本流程

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

瀏覽器發出CORS簡單請求，只需要在頭資訊之中增加一個Origin字段。

瀏覽器發出CORS非簡單請求，會在正式通訊之前，增加一次HTTP查詢請求，稱為”預檢”請求（preflight）。瀏覽

器先詢問伺服器，當前網頁所在的域名是否在伺服器的許可名單之中，以及可以使用哪些HTTP動詞和頭資訊欄位。

只有得到肯定答覆，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

四、CORS兩種請求詳解

1、簡單請求和非簡單請求定義：

滿足下面條件的都屬於簡單請求，否則為非簡單請求

（1) 請求方法是以下三種方法之一：
HEAD
GET
POST
（2）HTTP的頭資訊不超出以下幾種欄位：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

2、簡單請求和非簡單請求的區別

（1）簡單請求：一次請求

非簡單請求：兩次請求，在傳送資料之前會先發一次請求用於做“預檢”，只有“預檢”通過後才會再發送一次請求。

預檢的請求方式：OPTIONS

如果非簡單請求是PUT請求，則服務端需要設定允許請求，否則 ”預檢“不通過
Access
 
-Control-Request-Method　　 

如果非簡單請求設定了請求頭，則服務端需要設定允許某請求頭，否則”預檢“不通過
Access-Control-Request-Headers

（2）支援跨域設定方法：

#簡單請求：
Access-Control-Allow-Origin = ‘域名’ 或 ’*' # 伺服器設定響應頭
# * 代表所有域名

#非簡單請求：
非簡單請求時，會先發送 預檢 請求，預檢成功，才會傳送真實資料

#"預檢”請求時：允許請求方式則需要伺服器設定響應頭
Access-Control-Request-Method  # 設定響應頭請求方式
# "預檢”請求時：允許請求頭則需要伺服器設定響應頭
Access-Control-Request-Headers  #設定響應請求頭

五、django專案中支援CORS

1、簡單請求：在返回的結果中加入允許資訊

def test(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # * 號代表允許所有請求連結，
    # obj['Access-Control-Allow-Origin']='*'
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
    return obj

2、非簡單請求：也是同樣在返回結果中加入允許資訊

from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
    def process_response(self,request,response):
        if request.method=="OPTIONS":
            #可以加* 代表所有
            response["Access-Control-Allow-Headers"]="Content-Type"
        #簡單請求
        response["Access-Control-Allow-Origin"] = "http://localhost:8080"
        return response

六 、django 使用django-cors-headers 解決跨域問題

1、使用 pip安裝

pip install django-cors-headers

2、新增到配置檔案的app中

INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)

3、新增中介軟體

MIDDLEWARE = [  
    ...
    'corsheaders.middleware.CorsMiddleware',
    ...
]

4、在配置檔案中新增以下配置

CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = (
    '*'
)
CORS_ALLOW_METHODS = (
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
    'VIEW',
)

CORS_ALLOW_HEADERS = (
    'XMLHttpRequest',
    'X_FILENAME',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
    'Pragma',
)