问题
对于附带身份凭证的请求 服务器不得设置origin为*,默认的ajax请求等,在跨域访问时不携带身份凭证,可以设置withCredentials = true这样会发送cookies,这时,服务器也要对应响应Access-Control-Allow-Credentials: true
对于一般的跨域请求是通过头部的auth来确认用户身份的,不使用cookie,所以请求时应保证不携带cookie,这时服务器也不用管身份凭证cookie
django-cors-headers
配置
CORS_ORIGIN_ALLOW_ALL True
允许所有域名
CORS_ORIGIN_WHITELIST
允许的域名列表
CORS_ORIGIN_REGEX_WHITELIST
正则匹配域名
CORS_URLS_REGEX = r'^.*' 只能访问api开头的URL
CORS_ALLOW_METHODS
允许的请求方法列表
CORS_ALLOW_HEADERS
在请求时可携带的头部
CORS_EXPOSE_HEADERS
响应的头部 默认么有
CORS_PREFLIGHT_MAX_AGE
对于预检请求的过期时间 默认一天之内不用再预检
CORS_ALLOW_CREDENTIALS
允许在跨域请求中携带cookie,默认不允许,带cookie就可以直接通过session什么的直接进行认证,不需要额外的认证头部了,但对于django是设置了csrf校验的,见下方对于CSRF的(django2之后带了SESSION_COOKIE_SAMESITE的设置,默认为Lax这样阻止了session cookie)
CSRF相关
如果用了cookie认证那么会有CSRF的校验,但是django并不能识别你的相关设置,所以要设置django中的
CORS_ORIGIN_WHITELIST = [
'http://read.only.com',
'http://change.allowed.com',
]
CSRF_TRUSTED_ORIGINS = [
'change.allowed.com',
]
另有CORS_REPLACE_HTTPS_REFERER,因为上述的CSRF_TRUSTED_ORIGINS是在Djano1.9之后引入的,之前版本的用户需要一个替代方案,这个设置会修改请求的Referer头部来绕过django的CSRF校验,需要增加一个corsheaders.middleware.CorsPostCsrfMiddleware,放在django.middleware.csrf.CsrfViewMiddleware之后,