Django 解决CORS跨域问题的方法

已于 2024-04-03 10:41:55 修改
阅读量8.7k 收藏 27
点赞数 8
CC 4.0 BY-SA版权
分类专栏: Django 文章标签: django python 后端
于 2023-07-06 19:36:46 首次发布
本文仅用于与网友技术交流学习之用,未经博主许可,禁止转载,禁止将本文全文或部分用于公共媒体、书籍中。
本文链接:https://blog.csdn.net/captain5339/article/details/131583701

产生跨域问题的原因

Cross-Origin Resource Sharing(CORS) 跨域问题,在前后端后离项目,selenium , playweight 自动化测试代码中经常遇到。 而使用 python request, curl, postman 等非浏览器代码发送请求时则不存在这个问题。

浏览器采用了同源保护策略,为了防御恶意攻击,会检查Request消息与Response消息的域名 Domain与端口 Port,如果不相同,则表示响应消息与请求消息不是同源,可能是伪造的响应消息,因此浏览器添加了CORS限制功能,默认不接受非同源的响应消息。

浏览器与服务器都运行在同一台电脑上为何仍出现跨域问题?
原因: Ajax脚本在本机浏览器运行时, 默认主机地址为http://127.0.0.1:8848,而开发环境 django服务默认地址为:http://localhost:8000 上,因此,浏览器与服务器虽然主机名相同,但端口不同,所以不符合CORS要求,故浏览器仍然会出现CORS错误。

解决思路

如何解决这种情形的问题呢?
浏览器同源策略有条规则,Response头部如果包含如下字段值,则不做CORS检查。

Access-Control-Allow-Origin: *

接下来就是如何添加这个参数。 方法通常有2种:
(1) 方法1: 在使用前端代理在response中添加Access-Control-Allow-Origin:头部参数;
(2) 方法2:在服务器端,给response添加Access-Control-Allow-Origin头部参数。

方法1在前端构建工具来实现,如Vite添加proxy配置来实现(请参考Vite配置)。本文主要介绍方法2,即在django侧实现,实现也很容易。即通过中间件middleware 对所有response添加、修改头部参数。

解决方法1: 通过自定义中间件修改Response头部

在myproject/myapp/ 目录下,新建1个 middlewares.py 文件

class CorsMiddleware(object):
    """中间件:跨域访问"""
    def __init__(self, get_response):
        self.get_response = get_response
    
    def __call__(self, request):
        return self.get_response(request)
    
    # process_template_response(), process_response() 只能二选一、根据view的response类型,重载相应方法。 
    def process_template_response(self,request,response):
        # 如果view 使用了render渲染response,使用这个中间件
        response["Access-Control-Allow-Origin"] = "*"
        return response
        
    def process_response(self,request,response):
        # 如果view使用HttpResponse, 将使用这个中间件
        response["Access-Control-Allow-Origin"] = "*"
        return response

这个类的方法 process_template_response(), process_response(),用于为每个django response添加1个Access-Control-Allow-Origin: * 头部参数, 两个方法使用1个就可以。 当然也可以利用这个中间件添加、修改其它头部参数。

将新定义的中间件 CorsMiddleware 添加到 settings.py 的 middleware classes:的列表,如 Ajax使用的主机+端口号,如:http://127.0.0.1:8848

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'myapp.middlewares.CorsMiddleware',  # 允许跨域访问中间件
]

再次发送Ajax请求,可以成功接收到django的响应数据。使用浏览器DevTools检查Response响应头部参数,可以看到已经添加了Access-Control-Allow-Origin: *

HTTP/1.1 200 OK
Date: Sat, 21 Aug 2023 08:26:17 GMT
Server: WSGIServer/0.2 CPython/3.11.4
Content-Type: text/html; charset=utf-8
Access-Control-Allow-Origin: *
X-Frame-Options: DENY
Content-Length: 5177
Vary: Cookie
X-Content-Type-Options: nosniff
Referrer-Policy: same-origin

说明: 此方法虽然简单易行,Access-Control-Allow-Origin 设置为*, 允许任何跨域访问,显然不太安全,每次修改须更新代码,因此仅适用于开发测试环境。

解决方法2: 通过 django-cors-headers 库来实现

生产环境下,建议通过第3方库django-cors-headers 来实现,其步骤如下

1) 安装

pip install django-cors-headers

2) 修改 settings.py 配置文件

添加到应用列表

INSTALLED_APPS = (
    ##...
    'corsheaders'
)

添加中间件列表 corsheaders.middleware.CorsMiddleware

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    ......

然后,添加下面配置 允许所有 domain 访问

CORS_ORIGIN_ALLOW_ALL = True

或者,允许某些域访问

CORS_ORIGIN_ALLOW_ALL = False
# 允许域名加入白名单
CORS_ORIGIN_WHITELIST = (
    'http//:localhost:8000',
)

说明

在测试环境中,可以允许所有domain来访问,以避免 CORS问题,前后端分离项目在生产环境下,通常应该部署在同域下,
如果确实需要跨域,则将前端域名添加到白名单 CORS_ORIGIN_WHITELIST配置项中,禁止其它域访问。

Django问题解决方法
ithongchou的博客
03-23 428
Django问题解决方法
Django解决CORS资源共享问题
CodeHeroicX的博客
09-21 224
资源共享(Cross-Origin Resource Sharing,简称CORS)是由于浏览器的同源策略限制,导致在Web应用程序中进行资源请求时可能会遇到的问题。当你发送请求时,如果服务器返回了预期的响应并且没有出现错误,那么你的CORS设置就起作用了Django解决CORS资源共享问题。当你发送请求时,如果服务器返回了预期的响应并且没有出现错误,那么你的CORS设置就起作用了。现在,我们可以通过发送请求来测试我们的CORS设置是否生效。
解决django问题详解
一如既往的准备文章
03-07 3151
Django问题通常出现在前端和后端分离的开发场景中,当前端应用和后端Django服务部署在不同的名或端口下时,浏览器出于安全考虑会阻止请求。
Django 资源共享(CORS)全面配置指南
最新发布
YAnt的博客
05-15 839
本教程详解Django项目资源共享(CORS)的全面配置方法
Django解决问题
loserccc的博客
07-30 362
1. 安装包 安装 django-cors-headers 包,命令 pip install django-cors-headers 2. 注册app 在settings文件中,INSTALLED_APPS中写入’corsheaders’,,注意注册顺序问题app需要在自己app的前面。 // setting.py INSTALLED_APPS = [ 'corsheaders', # app 'django.contrib.admin', 'django.contr
django解决问题
12-15 505
近期的项目要用pythondjango+mysql实现,以前从来没接触过python,这次项目实践算是对自己的一个挑战和提升。 经过一番猛如虎的操作,python环境,django和mysql也都安装好了(其中的大坑以后再说),这次记录一下解决问题,因为对于初学者的我来说是非常容易遗忘的。 django解决使用django-cors-headers模块来实现 解决前显示的内容 基本可以分为4部: 1,安装 pip install django-cors-headers 2,
解决django问题
wuyepiaoxue789的博客
05-27 5761
一、何谓?后端接口访问地址是这个,你却偏要用其他名来访问,这就产生了. 二、django后端如何处理 1、安装第三方扩展 pip install django-cors-headers 2、添加应用 INSTALLED_APPS = ( ... 'corsheaders', ... ) 3、中间件处理,注意放在第一条,会第一时间进行处理 MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddlewa
django基于cors解决请求问题详解
09-18
下面将详细介绍这两个概念以及在Django项目中如何基于CORS解决请求问题。 同源策略是浏览器的一种安全策略,当浏览器从一个名的页面去请求另一个不同名的资源时,会受到同源策略的限制。如果这两个页面具有...
DRF后端解决django-cors-headers的使用
09-19
### DRF问题django-cors-headers的解决方案 #### 问题概述 在Web开发中,出于安全考虑,浏览器实施了同源策略(Same-origin policy)。该策略限制了一个网页上的脚本只能与同一来源的页面进行交互。简单...
CORS问题全解:原理、问题解决方案
热门推荐
私聊前往站内信:https://i.csdn.net/#/msg/chat/weixin_44976692
08-19 2万+
在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一种重要的安全策略。它限制了从一个源(协议、名和端口)加载的文档或脚本,与来自不同源的资源进行交互。这种限制防止了恶意网站在未经用户同意的情况下访问敏感数据。CORS是W3C标准之一,用于绕过同源策略的限制。在CORS机制下,服务器通过设置适当的HTTP头,告知浏览器允许哪些源访问其资源。CORS请求分为两类:简单请求(Simple Requests)和预检请求(Preflight Requests)。问题描述。
django解决请求的问题
09-19
主要介绍了django解决请求的问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django通过设置CORS解决问题
01-19
一、Ajax 请求 Ajax 请求一个目标地址为非本(协议、主机、端口任意一个不同)的 web 资源。 前端 http://192.168.10.50:8080 后端 http://192.168.10.50:8000 Ajax 请求保护的作用:防止站的攻击。 二、如何解决的访问 当我们在现实当中有需要访问资源,有两种解决方案: 前端解决:jsonp 后端解决Django):CORS 专门解决方案 这篇文章主要介绍使用 Django 框架进行开发时的后端解决方案。 三、Django 解决问题 Django 框架中通过 django-cors-head
django解决方法django如何解决问题django如何
weixin_46371752的博客
03-09 9345
Access-Control-Allow-Headers: XMLHttpRequest, X_FILENAME, accept, accept-encoding, authorization, content-type, dnt, origin, user-agent, x-csrftoken, x-requested-with,django解决django错误,django,前端后pythondjango如何解决django实现django如何实现
Django解决问题
jie6666的博客
03-24 1154
项目场景: 【Django解决问题 前端与后端分别是不同的端口,这就涉及到访问数据的问题,因为浏览器的同源策略,默认是不支持两个不同名间相互访问数据,而我们需要在两个名间相互传递数据,这时我们就要为后端添加访问的支持。 问题描述 前后端分别部署,需要解决问题 解决方案: 1.首先: pip install django-cors-headers 在setting.py中: INSTALLED_APPS = ( ... 'corsheaders', ... )
Django 解决
m0_43448734的博客
09-24 1078
安装依赖修改配置, # 加入中间键 位置必须在这里 不能在其他位置 在settings.py文件最后加上# 配置完成以上内容后Django就可用访问了。
Django 问题解决
她°
04-02 2259
什么是? 在前后端分离的项目中,是一个必不可少的问题,也是一个很正常的问题,那么什么是就是基于同源策略,不同IP、名、端口都算作。 同源策略是浏览器的安全策略。 同源:同源(ip地址、协议、端口都相同才是同源),不同源就是 :分为简单请求和复杂请求 报错如下: Access to XMLHttpRequest at 'http://xx.xx.xx:80/api/otp/send-code' from origin 'http://localhost:8080'
django问题
03-19
### 如何在 Django 中处理请求 为了使 Django 应用能够支持资源共享 (CORS),可以通过安装并配置 `django-cors-headers` 来实现这一功能。以下是具体的解决方案: #### 安装依赖库 首先,需要安装第三方包 `django-cors-headers`。可以使用 pip 工具来完成安装: ```bash pip install django-cors-headers ``` #### 修改项目的设置文件 (`settings.py`) 在项目根目录下的 `settings.py` 文件中进行如下操作: 1. **添加到已安装的应用列表** 将 `'corsheaders'` 添加到 `INSTALLED_APPS` 列表中。 ```python INSTALLED_APPS = [ ... 'corsheaders', ... ] ``` 2. **调整中间件顺序** 确保 `'corsheaders.middleware.CorsMiddleware'` 出现在其他中间件之前,通常放置在 `'django.middleware.common.CommonMiddleware'` 前面。 ```python MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', # 放在这里很重要 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', ... ] ``` 3. **定义 CORS 的具体行为** 可以通过多种方式控制哪些名被允许访问资源。如果希望允许所有名,则可以直接启用全局选项;如果有特定需求,则需进一步细化。 - 允许所有名访问: ```python CORS_ALLOW_ALL_ORIGINS = True # 这会开启对任何来源的响应许可[^1] ``` - 如果仅限于某些指定的名(推荐生产环境做法),则应改为白名单模式: ```python CORS_ALLOWED_ORIGINS = [ "https://example.com", "http://localhost:8080", # 开发环境下可能使用的地址 ] # 明确列出可信任站点[^3] ``` 4. **额外的安全性考虑** 对于更复杂的场景,还可以自定义更多参数,比如是否接受 cookies 或者 HTTP 方法限制等: ```python CORS_ALLOW_CREDENTIALS = True # 是否携带认证信息(如cookies) CORS_ALLOWED_METHODS = ["GET", "POST", "PUT", "DELETE"] # 设置允许的方法 CORS_EXPOSE_HEADERS = ['Content-Type'] # 暴露给前端读取的头字段 ``` 以上步骤完成后,重启服务器即可生效。 #### 测试 CORS 功能 测试时可以从浏览器开发者工具或者 Postman 查看返回的数据是否有对应的 Access-Control-Allow-Origin 字段存在,并验证其值是否符合预期设定。 --- ### 注意事项 需要注意的是,在实际开发过程中可能会遇到一些概念上的混淆情况,例如 CORS 和 CSRF 并不是同一个东西。前者是用来解决不同源之间的合法数据交互问题,而后者则是防范恶意网站冒充用户向目标网站发送非法请求的一种安全机制[XSS与CSRF的区别][^2]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值