DRF跨域后端解决之django-cors-headers

在使用django-rest-framework开发项目的时候我们总是避免不了跨域的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现跨域。当然如果前端框架是Vue的话,则可以代理服务实现跨域,我也就知道一点点,如果有兴趣,大家可以自行搜索哦。
DRF后端实现跨域第三方扩展———djangocorsheaders,在介绍之前,我先介绍两个概念:同源策略、跨域

同源策略

同源策略/SOP(Same origin policy)是一种约定,是浏览器的一种安全机制。这里同源需要”协议+域名+端口”三者都相同,否则不能进行Ajax访问。

跨域

不同源之间的网站通信就是跨域。

安装

pip install django-cors-headers

注册

INSTALLED_APPS = (
    'corsheaders',
)

添加中间件

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware', #最好添加至第一行
]

配置白名单

#单个配置
CORS_ORIGIN_WHITELIST  =(
     ' 域名',
)
#正则配置:
CORS_ORIGIN_REGEX_WHITELIST  =(r'^(https?://)?(\w+\.)?jim\.com $',)

或者直接允许所有主机跨域

CORS_ORIGIN_ALLOW_ALL = True 默认为False

允许携带cookie

CORS_ALLOW_CREDENTIALS = True

请求头及请求方法的配置:

#默认可以使用的非标准请求头,需要使用自定义请求头时,就可以进行修改
CORS_ALLOW_HEADERS = (
    'accept',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
)
#默认请求方法
CORS_ALLOW_METHODS = (
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
)

防止CSRF

#添加信任的站点 django1.9引入
CSRF_TRUSTED_ORIGINS = (
    'change.allowed.com',
)

一般情况下,我们配置这些就足够,当然最为一个出名的扩展,肯定做的很完美,更多的配置,请访问:https://github.com/ottoyiu/dj…

    原文作者:二十一
    原文地址: https://segmentfault.com/a/1190000018025987
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞