2. 程式人生 > 實用技巧 >跨域請求資源共享

跨域請求資源共享

阿新 發佈:2020-12-06

跨域請求

一 同源策略

同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現

請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,埠,協議相同.

比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名:127.0.0.1:8001一段資料

瀏覽器上就會報錯,個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那麼一些重要的機密網站將會很危險

1
 
已攔截跨源請求:同源策略禁止讀取位於 http:
 
//127.0.0.1:8001/SendAjax/ 的遠端資源。(原因:CORS 頭缺少 'Access-Control-Allow-Origin')。

但是注意,專案2中的訪問已經發生了,說明是瀏覽器對非同源請求返回的結果做了攔截

二 CORS(跨域資源共享)簡介

CORS需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低於IE10。

整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS通訊與同源的AJAX通訊沒有差別,程式碼完全一樣。瀏覽器一旦發現AJAX請求跨源,就會自動新增一些附加的頭資訊,有時還會多出一次附加的請求,但使用者不會有感覺。

因此,實現CORS通訊的關鍵是伺服器。只要伺服器實現了CORS介面,就可以跨源通訊。

三 CORS基本流程

瀏覽器將CORS請求分成兩類:簡單請求(simple request)非簡單請求(not-so-simple request)。
瀏覽器發出CORS簡單請求只需要在頭資訊之中增加一個Origin字段。
瀏覽器發出CORS非簡單請求會在正式通訊之前,增加一次HTTP查詢請求,稱為”預檢”請求(preflight)。瀏覽器先詢問伺服器,當前網頁所在的域名是否在伺服器的許可名單之中,以及可以使用哪些HTTP動詞和頭資訊欄位。只有得到肯定答覆,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。

四 CORS兩種請求詳解

只要同時滿足以下兩大條件,就屬於簡單請求。

1
2
3
4
5
6
7
8
9
10
 
1) 請求方法是以下三種方法之一:
HEAD
GET
POST
2)HTTP的頭資訊不超出以下幾種欄位:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時滿足上面兩個條件,就屬於非簡單請求。

瀏覽器對這兩種請求的處理,是不一樣的。

1
2
3
4
5
6
7
8
9
10
11
12
13
 
* 簡單請求和非簡單請求的區別?

   簡單請求:一次請求
   非簡單請求:兩次請求,在傳送資料之前會先發一次請求用於做“預檢”,只有“預檢”通過後才再傳送一次請求用於資料傳輸。
* 關於“預檢”

- 請求方式:OPTIONS
- “預檢”其實做檢查,檢查如果通過則允許傳輸資料,檢查不通過則不再發送真正想要傳送的訊息
- 如何“預檢”
     => 如果複雜請求是PUT等請求,則服務端需要設定允許某請求,否則“預檢”不通過
        Access-Control-Request-Method
     => 如果複雜請求設定了請求頭,則服務端需要設定允許某請求頭,否則“預檢”不通過
        Access-Control-Request-Headers

支援跨域,簡單請求

伺服器設定響應頭:Access-Control-Allow-Origin = ‘域名’ 或 ‘*’

支援跨域,複雜請求

由於複雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則傳送真實資料。

  • “預檢”請求時,允許請求方式則需伺服器設定響應頭:Access-Control-Request-Method
  • “預檢”請求時,允許請求頭則需伺服器設定響應頭:Access-Control-Request-Headers

五 Django專案中支援CORS

在返回的結果中加入允許資訊(簡單請求)

1
2
3
4
5
6
 
deftest(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # obj['Access-Control-Allow-Origin']='*'
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
return obj

放到中介軟體處理複雜和簡單請求:

1
2
3
4
5
6
7
8
 
from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
    def process_response(self,request,response):
        if request.method=="OPTIONS":
            #可以加*
            response["Access-Control-Allow-Headers"]="Content-Type"
        response["Access-Control-Allow-Origin"] = "http://localhost:8080"
return response

六 django 使用django-cors-headers 解決跨域問題

1、使用pip安裝

1
 
pip install django-cors-headers

2、新增到setting的app中

1
2
3
4
5
 
INSTALLED_APPS = (
	...
	'corsheaders',
	...
)

3、新增中介軟體

1
2
3
4
5
6
 
MIDDLEWARE = [  # Or MIDDLEWARE_CLASSES on Django < 1.10
	...
	'corsheaders.middleware.CorsMiddleware',
	'django.middleware.common.CommonMiddleware',
	...
]

4、setting下面新增下面的配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = (
	'*'
)
CORS_ALLOW_METHODS = (
	'DELETE',
	'GET',
	'OPTIONS',
	'PATCH',
	'POST',
	'PUT',
	'VIEW',
)

CORS_ALLOW_HEADERS = (
	'XMLHttpRequest',
	'X_FILENAME',
	'accept-encoding',
	'authorization',
	'content-type',
	'dnt',
	'origin',
	'user-agent',
	'x-csrftoken',
	'x-requested-with',
	'Pragma',
)

相關推薦

請求資源共享

跨域請求 一 同源策略 同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只

spring security中的csrf防禦原理(請求偽造)

什麼是csrf? csrf又稱跨域請求偽造,攻擊方通過偽造使用者請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社群和互動網站分別爆出

Spring Boot和Vue請求問題原理解析

這篇文章主要介紹了Spring Boot和Vue請求問題原理解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Nginx配置請求Access-Control-Allow-Origin * 詳解

前言 當出現403錯誤的時候 No \'Access-Control-Allow-Origin\' header is present on the requested resource,需要給Nginx伺服器配置響應的header引數:

原生js實現ajax請求和JSONP請求操作示例

本文例項講述了原生js實現ajax請求和JSONP請求。分享給大家供大家參考,具體如下:

簡單瞭解django處理請求最佳解決方案

一、什麼是跨域請求 跨域: 簡單來說就是 A 網站的 javascript 程式碼試圖訪問 B 網站,包括提交內容和獲取內容。這顯然是不安全的。為此,瀏覽器的鼻祖:網景(Netscape)公司提出了優秀的解決方案:著名的瀏覽器同

Python Tornado之請求與Options請求方式

問題背景 公司的專案是前後端分離,前端Vue+後端JavaSpringBoot為主,部分功能是PythonTornado,那麼需要支援一個是以及Options請求

ASP.NET WebApi+Vue前後端分離之允許啟用請求

原文:ASP.NET WebApi+Vue前後端分離之允許啟用請求目錄導航:前言:一、解決Vue報錯:OPTIONS 405 Method Not Allowed問題:錯誤重現:解決方法:二、解決ASP.NET WebApi資源共享-Cross Origin Resource Sha

Springboot處理CORS請求的三種方法

前言 Springboot問題,是當前主流web開發人員都繞不開的難題。但我們首先要明確以下幾點

C#+.netFrameWork4.5.2+WebAPI+Jquery+Ajax請求問題

webAPI給予.net frameWork4.5.2 選中webAPI專案=》nuget包管理器=》輸入microsoft.aspnet.webapi.cors=》安裝

NodeJS_0003:nodejs 設定允許請求

1, index.js檔案中:var http = require(\'http\'); var express = require(\'express\'); var router = express.Router();

同源策略和請求解決方案

轉載連結:https://www.jianshu.com/p/bce07495b77c 一、一個源的定義 如果兩個頁面的協議,埠(如果有指定)和域名都相同,則兩個頁面具有相同的源。舉個例子:

在前後端分離的專案中,ajax請求怎樣附帶cookie

在專案的實際開發中,我們總會遇到前後端分離的專案,在這樣的專案中,跨域是第一個要解決的問題,除此之外,儲存使用者資訊也是很重要的,然而,在後臺儲存使用者資訊通常使用的session和cookie結合的方法,而在前端

請求CORS詳解

目錄 跨域請求 一 同源策略 同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏

Spring後端請求設定

前後端專案分離,請求時,後端的兩種配置方式: 1.配置類: package com.helq3.config;

Spring前後端請求設定程式碼例項

前後端專案分離,請求時,後端的兩種配置方式: 1.配置類: package com.helq3.config;

Springboot-Vue請求(詳細)

目錄新建Vue專案codeduck-vue在專案內安裝axios並配置Login.vue 登入頁Home.vue 歡迎頁index.js 路由配置App.vue 根元件掛載路由新建SpringbootWeb專案新建專案codeduck並勾選web元件新建pojo——user新建Result類用

Vue-建立axios例項並實現請求(完整過程-前端)

Vue-建立axios例項並實現請求 .env配置檔案 VUE_APP_BASE_API=/server request.js import axios from \'axios\'

使用cors完成請求處理

跨域的含義 同源策略以及其限制內容 同源策略是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,瀏覽器很容易受到XSS、CSFR等攻擊。所謂同源是指"協議+域名+埠"三者相同,即便兩個不同

Vue請求問題解決方案過程解析

一、這是我們本次要請求的url介面地址http://iwenwiki.com/api/blueberrypai/getBlueBerryJamInfo.php