FastAPI系列:如何配置跨域访问(CORS)

原创 于 2025-02-28 19:41:03 发布 · 1.3k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fastapi #cors

默认情况下,FastAPI应用程序不允许来自不同来源的请求。当你有一个前端应用程序与后端API通信,并且它们托管在不同的域或端口上时,在FastAPI中允许来自不同来源的请求是一种常见的场景。这被称为CORS(跨域资源共享),它需要一些配置才能正常工作。这篇实用的文章将向您展示如何在FastAPI中启用CORS。让我们卷起袖子向前走吧!

介绍CORS

CORS(跨来源资源共享,Cross-Origin Resource Sharing) 是一种浏览器机制,用于控制网页从一个源(域、协议和端口)向另一个源请求资源的安全策略。CORS 允许服务器在响应头中设置特定的 HTTP 头(如 Access-Control-Allow-Origin),以指示浏览器允许哪些跨域请求。
在这里插入图片描述

同源策略简介

在深入理解 CORS 之前,首先需要了解同源策略。同源策略是浏览器的一种安全机制,限制了来自不同源的文档或脚本之间的交互。两个 URL 如果协议、域名和端口都相同,则认为是同源;否则,即为跨源。

同源策略的目的

  • 防止恶意网站读取或篡改其他网站的数据。
  • 保护用户的隐私和安全。

CORS 的工作原理

当一个网页向不同源的服务器发送请求时,浏览器会自动添加一个 Origin 头,指示请求的来源。服务器根据 Origin 头决定是否允许该请求,并在响应中添加 Access-Control-Allow-Origin 头。

主要步骤

  1. 预检请求(Preflight Request):对于某些跨域请求(如带有自定义头部、使用非简单方法如 PUTDELETE),浏览器会先发送一个 OPTIONS 请求,询问服务器是否允许该跨域请求。
  2. 服务器响应:服务器在响应中包含 Access-Control-Allow-Origin 等相关头部,指示浏览器是否允许该请求。
  3. 实际请求:如果预检通过,浏览器会发送实际的跨域请求,并根据服务器的响应决定是否处理返回的数据。
    在这里插入图片描述

CORS 相关的 HTTP 头

  • Access-Control-Allow-Origin

    • 指定允许访问资源的源。可以使用具体的域名(如 https://example.com)或 * 表示允许所有源。

    • 示例:

      Access-Control-Allow-Origin: https://example.com

  • Access-Control-Allow-Methods

    • 指定允许的 HTTP 方法(如 GET, POST, PUT)。

    • 示例:

      Access-Control-Allow-Methods: GET, POST, PUT

  • Access-Control-Allow-Headers

    • 指定允许的自定义请求头。

    • 示例:

      Access-Control-Allow-Headers: Content-Type, Authorization

  • Access-Control-Allow-Credentials

    • 指示是否允许发送凭证信息(如 Cookies)。当设置为 true 时,Access-Control-Allow-Origin 不能使用 *

    • 示例:

      Access-Control-Allow-Credentials: true

CORS 的类型

  1. 简单请求(Simple Request)
    • 使用 GETPOSTHEAD 方法。
    • 仅使用 AcceptAccept-LanguageContent-LanguageContent-Type(仅限 application/x-www-form-urlencodedmultipart/form-datatext/plain)等头。
    • 不需要预检请求。
  2. 预检请求(Preflighted Request)
    • 不属于简单请求的情况,如使用 PUTDELETE 方法,或包含自定义头部。
    • 需要先发送 OPTIONS 请求,询问服务器是否允许该跨域请求。

CORS 的优缺点

优点

  • 提高了 Web 应用的灵活性,允许不同源之间的资源交互。
  • 支持现代 Web 开发中的许多功能,如第三方 API 调用、CDN 资源加载等。

缺点

  • 增加了复杂性,需要服务器端正确配置响应头。
  • 可能带来安全隐患,如果配置不当,可能导致跨站请求伪造(CSRF)等攻击。

CORSMiddleware中间件

FastApi中可以启用CORS的最佳方法是使用cor中间件模块。该模块允许您指定API将从跨域请求中接受的允许的源、方法、头和凭据列表。您还可以使用通配符(*)来允许所有的起源、方法或头,但出于安全原因不建议这样做。

一般来说,设置CORS的步骤如下:

  • 从fastapi.middleware.cors导入CORSMiddleware 中间件
  • 创建一个允许的请求源的列表(作为字符串)
  • 使用app.add_middleware()方法将CORSMiddleware作为中间件添加到FastAPI应用程序中
  • 将允许的请求源列表和想要配置的任何其他参数(例如allow_credentials, allow_methods或allow_headers)传递给中间件。

让我们看一下下面的例子,以便更清楚地了解。

允许来自域列表的请求

在这个例子中,我们限制FastAPI只接受来自特定来源的传入请求,方法和头的数量有限。

示例代码:

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

# Allow these origins to access the API
origins = [
    "http://localhost",
    "https://localhost:3000",
    "https://tools.domain.com",
    "https://www.domain.com",
]

# Allow these methods to be used
methods = ["GET", "POST", "PUT", "DELETE"]

# Only these headers are allowed
headers = ["Content-Type", "Authorization"]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=methods,
    allow_headers=headers,
)

@app.get("/")
async def main():
    return {"message": "Welcome to My Home"}

允许来自任何域的请求

在某些情况下,特别是在开发和测试软件时,你可能希望从API中删除任何限制。下面的代码演示了如何做到这一点:

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

app.add_middleware(
    CORSMiddleware,
    allow_origins=["*"],
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)


@app.get("/")
async def main():
    return {"message": "Welcome to Sling Academy"}

最后总结

本文介绍了CORS,以及如何在FastApi中通过中间件方式灵活实现。

Python FastAPI 资源共享(CORS配置
Python编程之道的博客
06-04 1152
在现代Web开发中,资源共享(CORS)是一个重要的问题。当一个Web应用程序从一个名的网页去请求另一个名的资源时,由于浏览器的同源策略,会受到限制。FastAPI是一个快速(高性能)的Python Web框架,在使用FastAPI构建Web应用时,经常会遇到请求的情况。本文的目的就是详细介绍如何在Python FastAPI中进行资源共享的配置,范围涵盖从CORS的基本概念到具体的配置实践,以及相关的应用场景和资源推荐。
FastAPI学习最后一天: Cors和token鉴权
热门推荐
百锦再的博客
11-23 1万+
FastAPI配置CORS时,我们可以通过中间件来设置不同的限制。
FastAPI 从0到1(中间件和篇)筛选
weixin_53970868的博客
10-31 1221
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为协议
解决问题的FastAPI应用及常见报错解析
Lucas在澳洲
03-06 6376
通过使用FastAPI自带的CORS中间件,可以轻松地解决问题。在本文中,我们详细介绍了FastAPI如何配置CORS以及常见的报错及其解决方法。CORS中间件不仅简化了请求的处理,还使得前后端分离的应用能够更好地协同工作。在实际开发中,如果还遇到其他报错或问题,可以仔细查看错误信息,并结合相关文档进行解决。对于涉及敏感数据的API,确保配置CORS时谨慎选择允许的来源,以防止潜在的安全风险。通过良好的CORS配置,开发者能够构建更加安全、可靠的Web应用。
fastapi
Good Luck
11-30 1462
fastapi
【Python高级编程案例】-第16课时-python FastApi访问
xzs51job的专栏
09-24 824
资源共享(CORS) 是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是GET。
fastAPI设置
码匀的博客
12-22 7949
最近使用ajax来前端请求自己用fastAPI写的接口出现了问题,这玩意折腾我好几天,一直以为我写的前端的问题,浏览器控制台的报错也没仔细看(其实是不懂),直到我百度。。。。。吐血。 下面设置fastAPI,在初始化app之后加上即可: app = FastAPI( title='xxxx ', description='xxx', version='1.0.0' ) app.add_middleware( CORSMiddleware, # 允许的源列表,例如 ["http://ww
FastAPI 访问cors设置
Humbunklung的专栏
11-28 1063
前端写了个页面,调用后台一个服务,出现了访问错误,截图如下: 示例代码如下: 问题解决 在 中设置访问()可以通过使用 模块来实现。代码中配置 CORS 的步骤如下:修改后的代码如下: 解释 : 这是一个列表,包含允许访问你的 API 的来源。我们可以添加多个来源,例如 “http://localhost:3000”。 : 如果设置为 ,则允许发送凭据(如 )。 : 允许的 HTTP 方法,[“*”] 表示允许所有方法。 : 允许的 HTTP 头,[“*”] 表示允许所有头。 修改结果 代
Python FastApi 解决及OPTIONS预请求处理
爱分享的小猿
04-25 2296
Python FastApi 解决及OPTIONS预请求处理
FastAPI 中间件使用:CORS 与 GZip 压缩
A15216110998的专栏
12-25 1624
中间件是一种在请求到达应用程序之前或响应返回客户端之前执行的代码。它可以用于处理请求、压缩响应、认证、日志记录等任务。FastAPI 提供了灵活的中间件机制,允许开发者轻松扩展应用的功能。资源共享(CORS)是一种机制,允许浏览器向不同名的服务器发起请求。如果没有正确配置 CORS,浏览器会阻止请求,导致前端应用无法访问后端 API。GZip 是一种常用的数据压缩算法,用于减少 HTTP 响应的大小,从而提高网络传输效率。FastAPI 提供了,支持对响应进行自动压缩。
FastAPI 解决后台应用问题的及常见报错(记录)
风吹落叶的博客
06-11 1403
问题在前后端分离的Web应用中经常会遇到,明明直接访问没有问题,但在实际在浏览器中使用的时候返回405。FastAPI作为一个快速、现代化的Python Web框架,在处理问题上也提供了一些解决方案。本文将介绍如何使用FastAPI来解决问题,并分析一些常见的报错及解决方法。
FastAPI(39)- 使用 CORS 解决问题
qq_33801641的博客
09-28 2702
同源策略 https://www.cnblogs.com/poloyy/p/15345184.html CORS https://www.cnblogs.com/poloyy/p/15345871.html FastAPI 模拟问题 https://www.cnblogs.com/poloyy/p/15345763.html 需要先了解什么是同源策略、CORS报错栗子才能更好看懂这篇文...
fastapi-、静态文件添加
lm709409753的专栏
07-09 759
【代码】fastapi-、静态文件添加。
Python web框架fastapi中间件的使用,CORS详解
景天科技苑
03-05 2806
fastapi "中间件"是一个函数,它在每个**请求**被特定的路径操作处理之前,以及在每个**响应**之后工作. 它接收你的应用程序的每一个请求. 然后它可以对这个请求做一些事情或者执行任何需要的代码. 然后它将请求传递给应用程序的其他部分 (通过某种路径操作). 然后它获取应用程序生产的响应 (通过某种路径操作). 它可以对该响应做些什么或者执行任何需要的代码. 然后它返回这个 响应。
前端Vue 后端FastApi CORS
weixin_44656422的博客
05-06 932
前端是localhost:3000,后端是localhost:8000 ,就是了。
【Python开发】FastAPI 09:middleware 中间件及
尹煜的博客
06-10 4858
FastAPI提供了一些中间件来增强它的功能,类似于 Spring 的切面编程,中间件可以在请求处理前或处理后执行一些操作,例如记录日志、添加请求头、鉴权等,也是 FastAPI中间件的一部分。
设置访问
weixin_33795743的博客
02-06 239
前端页面: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta h...
fastapi配置
最新发布
02-23
### 配置 FastAPI 中的 CORS 为了使 FastAPI 支持资源共享 (CORS),可以利用 `fastapi.middleware.cors` 模块中的 `CORSMiddleware` 来完成配置。具体操作涉及导入必要的组件并将其应用到应用程序实例上。 #### 导入所需库 首先,需引入两个主要类:`FastAPI` 和 `CORSMiddleware`: ```python from fastapi import FastAPI from fastapi.middleware.cors import CORSMiddleware ``` #### 创建 FastAPI 实例 接着创建一个 FastAPI 应用程序对象: ```python app = FastAPI() ``` #### 添加中间件 通过调用 `add_middleware()` 方法向应用程序添加 CORS 中间件,并指定允许哪些源发起请求以及是否支持凭证共享等功能: ```python app.add_middleware( CORSMiddleware, allow_origins=["*"], # 或者定义具体的名列表 allow_credentials=True, # 如果不需要携带凭据,则设为 False allow_methods=["*"], # 可选参数,默认已包含 GET/POST 等常见方法 allow_headers=["*"] # 同样可以选择性地限定头部字段范围 ) ``` 以上设置表示该 API 接口接受来自任何地方(即 `"*"`, 表示所有来源)发出的 HTTP 请求,并且客户端可以在发送请求时附带认证信息(如 Cookies),同时不限制HTTP动词和自定义头文件[^1]。 对于更严格的控制场景,比如只允许特定网站访问服务端资源而不让其他站点随意读取数据,应该将 `allow_origins` 参数替换为实际要授权的目标站地址数组形式,例如 `["https://example.com", "http://localhost:8080"]`,并且根据需求调整其余选项值[^3]。 最后,在此之后就可以正常编写业务逻辑代码了,像这样定义简单的GET接口返回消息给前端页面: ```python @app.get("/hello") async def read_root(): return {"message": "Hello, FastAPI!"} ``` 上述过程展示了完整的 CORS 设置流程,确保前后端交互顺畅的同时也保障了一定程度的安全性[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值