在使用django-rest-framework开发项目的时候我们总是避免不了跨域的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现跨域。当然如果前端框架是Vue的话,则可以代理服务实现跨域,我也就知道一点点,如果有兴趣,大家可以自行搜索哦。
DRF后端实现跨域第三方扩展———djangocorsheaders,在介绍之前,我先介绍两个概念:同源策略、跨域
同源策略
同源策略/SOP(Same origin policy)是一种约定,是浏览器的一种安全机制。这里同源需要”协议+域名+端口”三者都相同,否则不能进行Ajax访问。
跨域
不同源之间的网站通信就是跨域。
安装
pip install django-cors-headers
注册
INSTALLED_APPS = (
'corsheaders',
)
添加中间件
MIDDLEWARE = [
'corsheaders.middleware.CorsMiddleware', #最好添加至第一行
]
配置白名单
#单个配置
CORS_ORIGIN_WHITELIST =(
' 域名',
)
#正则配置:
CORS_ORIGIN_REGEX_WHITELIST =(r'^(https?://)?(\w+\.)?jim\.com $',)
或者直接允许所有主机跨域
CORS_ORIGIN_ALLOW_ALL = True 默认为False
允许携带cookie
CORS_ALLOW_CREDENTIALS = True
请求头及请求方法的配置:
#默认可以使用的非标准请求头,需要使用自定义请求头时,就可以进行修改
CORS_ALLOW_HEADERS = (
'accept',
'accept-encoding',
'authorization',
'content-type',
'dnt',
'origin',
'user-agent',
'x-csrftoken',
'x-requested-with',
)
#默认请求方法
CORS_ALLOW_METHODS = (
'DELETE',
'GET',
'OPTIONS',
'PATCH',
'POST',
'PUT',
)
防止CSRF
#添加信任的站点 django1.9引入
CSRF_TRUSTED_ORIGINS = (
'change.allowed.com',
)
一般情况下,我们配置这些就足够,当然最为一个出名的扩展,肯定做的很完美,更多的配置,请访问:https://github.com/ottoyiu/dj…