[Django与cors]Django中的跨域请求

我们在用Django框架编写后端服务器的时候,总会遇到如下问题(No Access-Control-Allow-Origin header is present on the requested resource.)。


跨域请求的错误!

为什么会出现这种问题呢?因为我们在后台访问的时候涉及到了在不同的域名下去获取资源。一般都是由于CORS跨域验证机制设置不正确导致的。

先说怎么去解决这种问题:

在Django中我们可以在settings中去设置一些参数。
首先你需安装Django中跨域的中间件:

首先我们需要安装Django
然后在去安装Django-cors-headers
方法:
pip install django-cors-headers

安装好之后我们需要去settings中去注册app。
INSTALLED_APPS = [
          .....
        'corsheaders'
        .......    
]

接下来我们需要在中间件中使用我们的cors跨域的中间件(在此需要注意一下,在Django的1.11版本中,中间件的变量名是MIDDLEWARE,在1.9版本中是MIDDLEWARE_CLASSES,所以说要注意这两种区别):
MIDDLEWARE = [
      'corsheaders.middleware.CorsMiddleware',
      'django.middleware.security.SecurityMiddleware',
      'django.middleware.common.CommonMiddleware',
]

# 跨域请求是否携带cookies
CORS_ALLOW_CREDENTIALS = True

# 添加请求的白名单:
CORS_ORIGIN_WHITELIST = [
  'http://127.0.0.1:8080',
  'http://localhost:8000',
  'http://www.meiduo.site:8000',
  'http://api.meiduo.site.:8000'
  ]

什么是CORS呢?(Corss-Origin Resource Sharing 跨资源共享),也就是说当我们的请求与当前的页面的地址不同即为跨域。(包括协议,域名,端口等)。


跨域访问资源

可以看到的是我们去访问一个页面的时候,我们页面的访问的地址是jd.com,但有的时候的资源却放在另外一个资源路径下,这写图片的存放地址是360buy.com。最明显的就是京东的案例。

下面我们详细的说一下专业术语:

Same Origin Policy:同源策略,尤其是JavaScript,是对于客户端的脚本访问的一种安全标准。同源策略的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在本地的一个独立的环境中时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。其实也是一种出于安全的考虑。
说简单一点,就是浏览器在访问一个服务器的资源的时候,这个网站内不能去请求其他网站的资源,除非他们由相同的域名。或者是相同的协议,以及相同的主机名以及端口。否则的话,是不被允许的,但是在大型的网站中他的资源肯定是放在不同的服务器上,有文件服务器,有视频音频服务器,有数据图片服务器等。为了解决这种限制资源访问的问题,就出现了CORS。

cors的运行流程。
我们在访问一些网站主体的时候,例如网站是www.niubi.com.但是网站的图片是从data.com返回的。其实在页面中的实现过程是这样的。

function getdata{
    var request = new XMLHttpRequest();
    request.open('GET','http://data.com',true)
    request.onreadystatechange  = handler;
    request.send();
}

在运行了这个网页的文件加载到本地之后,就向数据服务器去发送请求,返回这些数据。

请求如下:
GET / HTTP/1.1
host: data.com
......
refer : http://niubi.com  # 也就是说数据从哪里来的。
Origin:http:niubi.com # 原来的请求的域名

我们在一个支持CORS协议的服务器会给我们如下答复。可以看到的是响应头中有一个值得注意的 Access-Control-Allow-Origin,这个响应头中记录的是可以访问数据资源的域名。如果存在Access-Control-Allow-Origin,则就说明浏览器知道这是一个可以跨域访问的,从而不会在根据Same Origin Policy来限制浏览器的跨域访问。其实整个流程看起来没有什么区别。只是多了一个请求的过程,根据响应来看是否允许浏览器来支持跨域访问。

响应如下:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://ambergarden.com
Content-Type: application/xml
[Payload Here]

你可能感兴趣的:([Django与cors]Django中的跨域请求)