[Django与cors]Django中的跨域请求

我们在用Django框架编写后端服务器的时候，总会遇到如下问题（No Access-Control-Allow-Origin header is present on the requested resource.）。

跨域请求的错误！

为什么会出现这种问题呢？因为我们在后台访问的时候涉及到了在不同的域名下去获取资源。一般都是由于CORS跨域验证机制设置不正确导致的。

先说怎么去解决这种问题：

在Django中我们可以在settings中去设置一些参数。
首先你需安装Django中跨域的中间件：

首先我们需要安装Django
然后在去安装Django-cors-headers
方法：
pip install django-cors-headers

安装好之后我们需要去settings中去注册app。
INSTALLED_APPS = [
          .....
        'corsheaders'
        .......    
]

接下来我们需要在中间件中使用我们的cors跨域的中间件（在此需要注意一下，在Django的1.11版本中，中间件的变量名是MIDDLEWARE，在1.9版本中是MIDDLEWARE_CLASSES,所以说要注意这两种区别）：
MIDDLEWARE = [
      'corsheaders.middleware.CorsMiddleware',
      'django.middleware.security.SecurityMiddleware',
      'django.middleware.common.CommonMiddleware',
]

# 跨域请求是否携带cookies
CORS_ALLOW_CREDENTIALS = True

# 添加请求的白名单：
CORS_ORIGIN_WHITELIST = [
  'http://127.0.0.1:8080',
  'http://localhost:8000',
  'http://www.meiduo.site:8000',
  'http://api.meiduo.site.:8000'
  ]

什么是CORS呢？（Corss-Origin Resource Sharing 跨资源共享），也就是说当我们的请求与当前的页面的地址不同即为跨域。（包括协议，域名，端口等）。

跨域访问资源

可以看到的是我们去访问一个页面的时候，我们页面的访问的地址是jd.com，但有的时候的资源却放在另外一个资源路径下,这写图片的存放地址是360buy.com。最明显的就是京东的案例。

下面我们详细的说一下专业术语：

Same Origin Policy：同源策略，尤其是JavaScript，是对于客户端的脚本访问的一种安全标准。同源策略的精髓很简单：它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在本地的一个独立的环境中时，它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。其实也是一种出于安全的考虑。
说简单一点，就是浏览器在访问一个服务器的资源的时候，这个网站内不能去请求其他网站的资源，除非他们由相同的域名。或者是相同的协议，以及相同的主机名以及端口。否则的话，是不被允许的，但是在大型的网站中他的资源肯定是放在不同的服务器上，有文件服务器，有视频音频服务器，有数据图片服务器等。为了解决这种限制资源访问的问题，就出现了CORS。

cors的运行流程。
我们在访问一些网站主体的时候，例如网站是www.niubi.com.但是网站的图片是从data.com返回的。其实在页面中的实现过程是这样的。

function getdata{
    var request = new XMLHttpRequest();
    request.open('GET','http://data.com',true)
    request.onreadystatechange  = handler;
    request.send();
}

在运行了这个网页的文件加载到本地之后，就向数据服务器去发送请求，返回这些数据。

请求如下：
GET / HTTP/1.1
host: data.com
......
refer : http://niubi.com  # 也就是说数据从哪里来的。
Origin：http：niubi.com # 原来的请求的域名

---

我们在一个支持CORS协议的服务器会给我们如下答复。可以看到的是响应头中有一个值得注意的 Access-Control-Allow-Origin，这个响应头中记录的是可以访问数据资源的域名。如果存在Access-Control-Allow-Origin,则就说明浏览器知道这是一个可以跨域访问的，从而不会在根据Same Origin Policy来限制浏览器的跨域访问。其实整个流程看起来没有什么区别。只是多了一个请求的过程，根据响应来看是否允许浏览器来支持跨域访问。

响应如下：
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://ambergarden.com
Content-Type: application/xml
[Payload Here]