<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,? 通常,浏览器会对上面提到的跨域请求作出限制。浏览器之所以要对跨域请求作出限制,是出于安全方面
的考虑,因为跨域请求有可能被不法分子利用来发动 CSRF攻击。
<script><img><iframe> 等标签不受同源策略限制,可以从不同域加载并执行资源的特性,来实现数据跨域传输。JSONP 的优点是:它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;它的兼容性更好,在更加古老的浏览器中都可以运行。
JSONP 的缺点是:它只支持 GET 请求,而不支持 POST 请求等其他类型的 HTTP 请求
跨源资源共享 Cross-Origin Resource Sharing(CORS) 是一个新的 W3C 标准,它新增的一组HTTP首部字段,允许服务端其声明哪些源站有权限访问哪些资源。换言之,它允许浏览器向声明了 CORS 的跨域服务器,发出 XMLHttpReuest 请求,从而克服 Ajax 只能同源使用的限制。
? 另外,规范也要求对于非简单请求,浏览器必须首先使用 OPTION 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求,在服务器确定允许后,才发起实际的HTTP请求。对于简单请求、非简单请求以及预检请求的详细资料可以阅读HTTP访问控制(CORS) 。
pip install django-cors-headers
注册应用
INSTALLED_APPS = ( ... ‘corsheaders‘, ... )
中间层设置
MIDDLEWARE = [ ... ‘corsheaders.middleware.CorsMiddleware‘, ‘django.middleware.common.CommonMiddleware‘, ... ]
添加白名单
# CORS 设置跨域域名 CORS_ORIGIN_WHITELIST = ( ‘127.0.0.1:8080‘, ‘localhost:8080‘, ‘www.xxxx.com:8080‘, ‘api.xxxx.com:8000‘ ) CORS_ALLOW_CREDENTIALS = True # 允许携带cookieALLOWED_HOSTS = [‘www.xxxx.com:8080‘,‘api.xxxx.com:8000‘,‘127.0.0.1‘]# 前端需要携带cookies访问后端时,需要设置withCredentials: true
设置允许访问的方法
CORS_ALLOW_METHODS = ( ‘GET‘, ‘POST‘, ‘PUT‘, ‘PATCH‘, ‘DELETE‘, ‘OPTIONS‘ )
设置允许的header
CORS_ALLOW_HEADERS = ( ‘x-requested-with‘, ‘content-type‘, ‘accept‘, ‘origin‘, ‘authorization‘, ‘x-csrftoken‘ )
原文:https://www.cnblogs.com/yunhgu/p/14133603.html