跨域請求 跨域請求
跨域請求
本文目錄
回到目錄一 同源策略
同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現
請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,埠,協議相同.
比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名:127.0.0.1:8001一段資料
瀏覽器上就會報錯,個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那麼一些重要的機密網站將會很危險
已攔截跨源請求:同源策略禁止讀取位於 http://127.0.0.1:8001/SendAjax/ 的遠端資源。(原因:CORS 頭缺少 'Access-Control-Allow-Origin')。
但是注意,專案2中的訪問已經發生了,說明是瀏覽器對非同源請求返回的結果做了攔截
回到目錄二 CORS(跨域資源共享)簡介
CORS需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低於IE10。
整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS通訊與同源的AJAX通訊沒有差別,程式碼完全一樣。瀏覽器一旦發現AJAX請求跨源,就會自動新增一些附加的頭資訊,有時還會多出一次附加的請求,但使用者不會有感覺。
因此,實現CORS通訊的關鍵是伺服器。只要伺服器實現了CORS介面,就可以跨源通訊。
回到目錄三 CORS基本流程
瀏覽器將CORS請求分成兩類:簡單請求(simple request)
瀏覽器發出CORS簡單請求,只需要在頭資訊之中增加一個Origin字段。
瀏覽器發出CORS非簡單請求,會在正式通訊之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。瀏覽器先詢問伺服器,當前網頁所在的域名是否在伺服器的許可名單之中,以及可以使用哪些HTTP動詞和頭資訊欄位。只有得到肯定答覆,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。
四 CORS兩種請求詳解
只要同時滿足以下兩大條件,就屬於簡單請求。
(1) 請求方法是以下三種方法之一: HEAD GET POST (2)HTTP的頭資訊不超出以下幾種欄位: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同時滿足上面兩個條件,就屬於非簡單請求。
瀏覽器對這兩種請求的處理,是不一樣的。
* 簡單請求和非簡單請求的區別? 簡單請求:一次請求 非簡單請求:兩次請求,在傳送資料之前會先發一次請求用於做“預檢”,只有“預檢”通過後才再傳送一次請求用於資料傳輸。 * 關於“預檢” - 請求方式:OPTIONS - “預檢”其實做檢查,檢查如果通過則允許傳輸資料,檢查不通過則不再發送真正想要傳送的訊息 - 如何“預檢” => 如果複雜請求是PUT等請求,則服務端需要設定允許某請求,否則“預檢”不通過 Access-Control-Request-Method => 如果複雜請求設定了請求頭,則服務端需要設定允許某請求頭,否則“預檢”不通過 Access-Control-Request-Headers
支援跨域,簡單請求
伺服器設定響應頭:Access-Control-Allow-Origin = '域名' 或 '*'
支援跨域,複雜請求
由於複雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則傳送真實資料。
- “預檢”請求時,允許請求方式則需伺服器設定響應頭:Access-Control-Request-Method
- “預檢”請求時,允許請求頭則需伺服器設定響應頭:Access-Control-Request-Headers
五 Django專案中支援CORS
在返回的結果中加入允許資訊(簡單請求)
def test(request): import json obj=HttpResponse(json.dumps({'name':'lqz'})) # obj['Access-Control-Allow-Origin']='*' obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004' return obj
放到中介軟體處理複雜和簡單請求:
?| 1 2 3 4 5 6 7 8 |
from
django.utils.deprecation
import
MiddlewareMixin
class
CorsMiddleWare(MiddlewareMixin):
def
process_response(
self
,request,response):
if
request.method
=
=
"OPTIONS"
:
#可以加*
response[
"Access-Control-Allow-Headers"
]
=
"Content-Type"
response[
"Access-Control-Allow-Origin"
]
=
"http://localhost:8080"
return
response
|
回到目錄
一 同源策略
同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現
請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,埠,協議相同.
比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名:127.0.0.1:8001一段資料
瀏覽器上就會報錯,個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那麼一些重要的機密網站將會很危險
已攔截跨源請求:同源策略禁止讀取位於 http://127.0.0.1:8001/SendAjax/ 的遠端資源。(原因:CORS 頭缺少 'Access-Control-Allow-Origin')。
但是注意,專案2中的訪問已經發生了,說明是瀏覽器對非同源請求返回的結果做了攔截
回到目錄二 CORS(跨域資源共享)簡介
CORS需要瀏覽器和伺服器同時支援。目前,所有瀏覽器都支援該功能,IE瀏覽器不能低於IE10。
整個CORS通訊過程,都是瀏覽器自動完成,不需要使用者參與。對於開發者來說,CORS通訊與同源的AJAX通訊沒有差別,程式碼完全一樣。瀏覽器一旦發現AJAX請求跨源,就會自動新增一些附加的頭資訊,有時還會多出一次附加的請求,但使用者不會有感覺。
因此,實現CORS通訊的關鍵是伺服器。只要伺服器實現了CORS介面,就可以跨源通訊。
回到目錄三 CORS基本流程
瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。
瀏覽器發出CORS簡單請求,只需要在頭資訊之中增加一個Origin字段。
瀏覽器發出CORS非簡單請求,會在正式通訊之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。瀏覽器先詢問伺服器,當前網頁所在的域名是否在伺服器的許可名單之中,以及可以使用哪些HTTP動詞和頭資訊欄位。只有得到肯定答覆,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。
四 CORS兩種請求詳解
只要同時滿足以下兩大條件,就屬於簡單請求。
(1) 請求方法是以下三種方法之一: HEAD GET POST (2)HTTP的頭資訊不超出以下幾種欄位: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同時滿足上面兩個條件,就屬於非簡單請求。
瀏覽器對這兩種請求的處理,是不一樣的。
* 簡單請求和非簡單請求的區別? 簡單請求:一次請求 非簡單請求:兩次請求,在傳送資料之前會先發一次請求用於做“預檢”,只有“預檢”通過後才再傳送一次請求用於資料傳輸。 * 關於“預檢” - 請求方式:OPTIONS - “預檢”其實做檢查,檢查如果通過則允許傳輸資料,檢查不通過則不再發送真正想要傳送的訊息 - 如何“預檢” => 如果複雜請求是PUT等請求,則服務端需要設定允許某請求,否則“預檢”不通過 Access-Control-Request-Method => 如果複雜請求設定了請求頭,則服務端需要設定允許某請求頭,否則“預檢”不通過 Access-Control-Request-Headers
支援跨域,簡單請求
伺服器設定響應頭:Access-Control-Allow-Origin = '域名' 或 '*'
支援跨域,複雜請求
由於複雜請求時,首先會發送“預檢”請求,如果“預檢”成功,則傳送真實資料。
- “預檢”請求時,允許請求方式則需伺服器設定響應頭:Access-Control-Request-Method
- “預檢”請求時,允許請求頭則需伺服器設定響應頭:Access-Control-Request-Headers
五 Django專案中支援CORS
在返回的結果中加入允許資訊(簡單請求)
def test(request): import json obj=HttpResponse(json.dumps({'name':'lqz'})) # obj['Access-Control-Allow-Origin']='*' obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004' return obj
放到中介軟體處理複雜和簡單請求:
?| 1 2 3 4 5 6 7 8 |
from
django.utils.deprecation
import
MiddlewareMixin
class
CorsMiddleWare(MiddlewareMixin):
def
process_response(
self
,request,response):
if
request.method
=
=
"OPTIONS"
:
#可以加*
response[
"Access-Control-Allow-Headers"
]
=
"Content-Type"
response[
"Access-Control-Allow-Origin"
]
=
"http://localhost:8080"
return
response
|