同源策略介紹

同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會受到影響?？梢哉fWeb是構(gòu)建在同源策略基礎(chǔ)之上的，瀏覽器只是針對同源策略的一種實(shí)現(xiàn)

站在用戶的角度思考問題，與客戶深入溝通，找到東陽網(wǎng)站設(shè)計(jì)與東陽網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗(yàn)好的作品，建站類型包括：成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋東陽地區(qū)。

請求的url地址,必須與瀏覽器上的url地址處于同域上,也就是域名,端口,協(xié)議相同.

比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名：127.0.0.1:8001一段數(shù)據(jù)

瀏覽器上就會報錯，個就是同源策略的保護(hù),如果瀏覽器對javascript沒有同源策略的保護(hù),那么一些重要的機(jī)密網(wǎng)站將會很危險

已攔截跨源請求：同源策略禁止讀取位于 http://127.0.0.1:8001/SendAjax/ 的遠(yuǎn)程資源。（原因：CORS 頭缺少 'Access-Control-Allow-Origin'）。

但是注意，項(xiàng)目2中的訪問已經(jīng)發(fā)生了，說明是瀏覽器對非同源請求返回的結(jié)果做了攔截

CORS跨域資源共享介紹

CORS需要瀏覽器和服務(wù)器同時支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低于IE10。

整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。對于開發(fā)者來說，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感覺。

因此，實(shí)現(xiàn)CORS通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實(shí)現(xiàn)了CORS接口，就可以跨源通信。

CORS基本流程

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

瀏覽器發(fā)出CORS簡單請求，只需要在頭信息之中增加一個Origin字段。

瀏覽器發(fā)出CORS非簡單請求，會在正式通信之前，增加一次HTTP查詢請求，稱為”預(yù)檢”請求（preflight）。瀏覽器先詢問服務(wù)器，當(dāng)前網(wǎng)頁所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會發(fā)出正式的XMLHttpRequest請求，否則就報錯。

CORS兩種請求詳解

只要同時滿足以下兩大條件，就屬于簡單請求。

（1) 請求方法是以下三種方法之一：
HEAD
GET
POST
（2）HTTP的頭信息不超出以下幾種字段：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時滿足上面兩個條件，就屬于非簡單請求。

瀏覽器對這兩種請求的處理，是不一樣的。

* 簡單請求和非簡單請求的區(qū)別？

   簡單請求：一次請求
   非簡單請求：兩次請求，在發(fā)送數(shù)據(jù)之前會先發(fā)一次請求用于做“預(yù)檢”，只有“預(yù)檢”通過后才再發(fā)送一次請求用于數(shù)據(jù)傳輸。
* 關(guān)于“預(yù)檢”

- 請求方式：OPTIONS
- “預(yù)檢”其實(shí)做檢查，檢查如果通過則允許傳輸數(shù)據(jù)，檢查不通過則不再發(fā)送真正想要發(fā)送的消息
- 如何“預(yù)檢”
     => 如果復(fù)雜請求是PUT等請求，則服務(wù)端需要設(shè)置允許某請求，否則“預(yù)檢”不通過
        Access-Control-Request-Method
     => 如果復(fù)雜請求設(shè)置了請求頭，則服務(wù)端需要設(shè)置允許某請求頭，否則“預(yù)檢”不通過
        Access-Control-Request-Headers

支持跨域，簡單請求

服務(wù)器設(shè)置響應(yīng)頭：Access-Control-Allow-Origin = ‘域名’ 或 ‘*’

支持跨域，復(fù)雜請求

由于復(fù)雜請求時，首先會發(fā)送“預(yù)檢”請求，如果“預(yù)檢”成功，則發(fā)送真實(shí)數(shù)據(jù)。

• “預(yù)檢”請求時，允許請求方式則需服務(wù)器設(shè)置響應(yīng)頭：Access-Control-Request-Method
• “預(yù)檢”請求時，允許請求頭則需服務(wù)器設(shè)置響應(yīng)頭：Access-Control-Request-Headers

Django項(xiàng)目中支持CORS

在返回的結(jié)果中加入允許信息（簡單請求）

def test(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # obj['Access-Control-Allow-Origin']='*' 所有的都可以通過
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004' #只針對該域名通過
    return obj

放到中間件處理復(fù)雜和簡單請求：

from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
    def process_response(self,request,response):
        if request.method=="OPTIONS":
            #可以加*
            response["Access-Control-Allow-Headers"]="Content-Type"
        response["Access-Control-Allow-Origin"] = "http://localhost:8080"
        return response

django 使用django-cors-headers 解決跨域問題

1、使用pip安裝

pip install django-cors-headers

2、添加到setting的app中

INSTALLED_APPS = (
	...
	'corsheaders',
	...
)

3、添加中間件

MIDDLEWARE = [  # Or MIDDLEWARE_CLASSES on Django < 1.10
	...
	'corsheaders.middleware.CorsMiddleware',
	'django.middleware.common.CommonMiddleware',
	...
]

4、setting下面添加下面的配置

CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_ALLOW_ALL = True
CORS_ORIGIN_WHITELIST = (
	'*'
)
CORS_ALLOW_METHODS = (
	'DELETE',
	'GET',
	'OPTIONS',
	'PATCH',
	'POST',
	'PUT',
	'VIEW',
)

CORS_ALLOW_HEADERS = (
	'XMLHttpRequest',
	'X_FILENAME',
	'accept-encoding',
	'authorization',
	'content-type',
	'dnt',
	'origin',
	'user-agent',
	'x-csrftoken',
	'x-requested-with',
	'Pragma',
)

名稱欄目：CORS跨域資源共享問題
當(dāng)前URL：http://chinadenli.net/article28/dsogdjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、關(guān)鍵詞優(yōu)化、電子商務(wù)、營銷型網(wǎng)站建設(shè)、、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)