浏览器同源策略是:协议、主机ip 和 端口port 都相同的两个地址是同源地址,否则是非同源地址.
现在大多都是前后端分离的情况, 前端和后端分处不同的域名, 浏览器会限制脚本内部发送跨域请求, 当需要跨域的时候, 浏览器会发送一个options
请求, 这个请求的意义就是预先查询需要跨域访问的站点是否支持允许跨域请求,如果不支持, 则会报CORS的错误
就比如,某位用户接收到不知名站点传来的页面,里面包含了一个
ajxs
请求, 请求的地址是我们的服务器接口, 这时浏览器会首先发送一个options
请求, 从哪里的host访问我们的接口, 如果我们的服务器支持跨域请求且来源host在我们设置的白名单内, 用户便进行下一步访问,随之ajxs
请求我们服务器接口
Django-cors-headers
扩展类:pip install django-cors-headers
INSTALLED_APPS = (
...
'corsheaders',
...
)
MIDDLEWARE = [
...
'corsheaders.middleware.CorsMiddleware',
...
]
# 添加 django-cors-headers 的白名单, 使白名单中的 host 可以进行跨域请求
CORS_ORIGIN_WHITELIST = (
# 白名单:
'127.0.0.1:8080',
'localhost:8080',
'127.0.0.1:8081',
'localhost:8081',
'localhost:8000',
'127.0.0.1:8000'
# 添加白名单
'www.baidu.com:8080'
)
CORS_ALLOW_CREDENTIALS = True