一 同源策略

同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的，瀏覽器只是針對同源策略的一種實現

請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,埠,協議相同.

比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名：127.0.0.1:8001一段資料

瀏覽器上就會報錯，個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那麼一些重要的機密網站將會很危險

已攔截跨源請求：同源策略禁止讀取位於 http://127.0.0.1:8001/SendAjax/ 的遠端資源。（原因：CORS 頭缺少 'Access-Control-Allow-Origin'）。
 

注意，專案2中的訪問已經發生了，說明是瀏覽器對非同源請求返回的結果做了攔截

二 CORS（跨域資源共享）簡介

CORS需要瀏覽器和伺服器同時支援。目前，所有瀏覽器都支援該功能，IE瀏覽器不能低於IE10。

整個CORS通訊過程，都是瀏覽器自動完成，不需要使用者參與。對於開發者來說，CORS通訊與同源的AJAX通訊沒有差別，程式碼完全一樣。瀏覽器一旦發現AJAX請求跨源，就會自動新增一些附加的頭資訊，有時還會多出一次附加的請求，但使用者不會有感覺。

因此，實現CORS通訊的關鍵是伺服器。只要伺服器實現了CORS介面，就可以跨源通訊。

三 CORS基本流程

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。
瀏覽器發出CORS簡單請求，只需要在頭資訊之中增加一個Origin欄位。
瀏覽器發出CORS非簡單請求，會在正式通訊之前，增加一次HTTP查詢請求，稱為”預檢”請求（preflight）。瀏覽器先詢問伺服器，當前網頁所在的域名是否在伺服器的許可名單之中，以及可以使用哪些HTTP動詞和頭資訊欄位。只有得到肯定答覆，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

四 CORS兩種請求詳解

只要同時滿足以下兩大條件，就屬於簡單請求。

（1) 請求方法是以下三種方法之一：
HEAD
GET
POST
（2）HTTP的頭資訊不超出以下幾種欄位：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時滿足上面兩個條件，就屬於非簡單請求。

瀏覽器對這兩種請求的處理，是不一樣的。

* 簡單請求和非簡單請求的區別？

   簡單請求：一次請求
   
   非簡單請求：兩次請求，在傳送資料之前會先發一次請求用於做“預檢”，只有“預檢”通過後才再傳送一次請求用於資料傳輸。
* 關於“預檢”
    - 請求方式：OPTIONS
    - “預檢”其實做檢查，檢查如果通過則允許傳輸資料，檢查不通過則不再發送真正想要傳送的訊息
    - 
* 如何“預檢”
     => 如果複雜請求是PUT等請求，則服務端需要設定允許某請求，否則“預檢”不通過
        Access-Control-Request-Method
     => 如果複雜請求設定了請求頭，則服務端需要設定允許某請求頭，否則“預檢”不通過
        Access-Control-Request-Headers
 

支援跨域，簡單請求
伺服器設定響應頭：Access-Control-Allow-Origin = ‘域名’ 或 ‘*’

支援跨域，複雜請求
由於複雜請求時，首先會發送“預檢”請求，如果“預檢”成功，則傳送真實資料。

• “預檢”請求時，允許請求方式則需伺服器設定響應頭：Access-Control-Request-Method
• “預檢”請求時，允許請求頭則需伺服器設定響應頭：Access-Control-Request-Headers

五 Django專案中支援CORS

在返回的結果中加入允許資訊（簡單請求）

def test(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # obj['Access-Control-Allow-Origin']='*'
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
    return obj

放到中介軟體處理複雜和簡單請求：

from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
    def process_response(self,request,response):
        if request.method=="OPTIONS":
            response["Access-Control-Allow-Headers"]="Content-Type"
        # response["Access-Control-Allow-Origin"] = "*"   
        response["Access-Control-Allow-Origin"] = "http://localhost:8080"
        return response

六 django 使用django-cors-headers 解決跨域問題

1、使用pip安裝

pip install django-cors-headers

2、新增到setting的app中

INSTALLED_APPS = (
	...
	'corsheaders',
	...
)

3、新增中介軟體

MIDDLEWARE = [  # Or MIDDLEWARE_CLASSES on Django < 1.10
	...
	'corsheaders.middleware.CorsMiddleware',
	'django.middleware.common.CommonMiddleware',
	...
]

4、setting下面新增下面的配置

CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = (
	'*'
)
CORS_ALLOW_METHODS = (
	'DELETE',
	'GET',
	'OPTIONS',
	'PATCH',
	'POST',
	'PUT',
	'VIEW',
)

CORS_ALLOW_HEADERS = (
	'XMLHttpRequest',
	'X_FILENAME',
	'accept-encoding',
	'authorization',
	'content-type',
	'dnt',
	'origin',
	'user-agent',
	'x-csrftoken',
	'x-requested-with',
	'Pragma',
)