Javascript跨域访问资源

最新推荐文章于 2024-10-11 08:43:07 发布
最新推荐文章于 2024-10-11 08:43:07 发布
阅读量2.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Python Django Javascript 网络安全 文章标签: javascript django 服务器 互联网 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ybdesire/article/details/47787897
本文介绍了解决Django开发的API在浏览器中遇到的跨域问题,详细解释了同源策略的概念,并介绍了如何使用CORS机制及Django中间件实现跨域资源共享。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    用Django开发的API,在浏览器里可以正常访问,但在javascript里用GET访问,却报错如下:
    No 'Access-Control-Allow-Origin' header is present on the requested resource.

    查了一下,其实这个问题水还不浅,下面来分析一下。


    首先得知道,浏览器规定了一个“同源策略”(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(JS)在没明确授权的情况下,不能读写对方的资源。这是Netscape提出的一个著名的安全策略,所有能跑JS的浏览器都遵守这个策略[1]。
    就是说脚本只能向加载它的站点发送HTTP请求。浏览器能GET到(直接在浏览器地址栏里访问)的资源,脚本不一定能GET到。举个例子,比如通过这个URL(http://tb2.bdstatic.com/tb/static-spage/widget/member_rank/member_rank_z_a0f387f.pnG),可以访问到百度的一张图片。你把这个URL用浏览器直接访问,或者写在HTML的image元素的src里,都是可以正常访问到这张图片。但用JS来GET,就会报错。

    注意这个策略是浏览器策略,如果在其它非浏览器运行的脚本中,比如python,还是能GET到百度这个图片的。


    这个策略是一个安全策略,没有它,就会发生cookie劫持(A站点获取B站点的cookie)一类的安全问题。但这个策略规定的那么死,A站点的JS又不能调用B开发的API,那API就没啥用了。如果一个站点不能访问另一站点的资源,互联网上的资源冗余得有多大!


    所以,为了不让咱们白开发API,出现了CORS(跨域资源共享)。CORS是一种机制,只要服务器遵守这种机制,就能实现A站点的脚本访问B站点的资源,上面那个百度的图片就能被我们本地的JS脚本GET到了。
    CORS机制规定,服务器要在HTTP头中添加Access-Control-Allow-Origin, Access-Control-Allow-Methods,来限制其他站点和可以访问资源的方法。再看看最初提到的那个报错,不就是服务器没有配置Access-Control-Allow-Origin么。
    将支持CORS的站点地址添加到源服务器Access-Control-Allow-Origin,则该站点的JS,就能访问到源服务器中的资源。

    回到Django,利用Django的中间件,有更简单的方法能满足CORS机制,详见这里

1. 在Django项目的跟目录(manage.py所在目录)下
pip install django-cors-headers

2. 在settings.py中配置CORS_ORIGIN_ALLOW_ALL,则允许所有站点来访问资源
INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)

MIDDLEWARE_CLASSES = (
    ...
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    ...
)

CORS_ORIGIN_ALLOW_ALL = True

    开放了所有站点来访问资源,在HTTP头中,Access-Control-Allow-Origin被设置为"*"。 允许所有站点访问资源的做法并不安全,比如黑客写一段无穷个GET来访问资源的代码,就可能导致服务器瘫痪,所以还可以设置白名单:

CORS_ORIGIN_WHITELIST = (
        'localhost:8083',
        'hostname.example.com'
    )


下面是Baidu在处理POST请求时的HTTP响应,它将Access-Control-Allow-Origin被设置为"*",看来Baidu还用了其它手段保证安全。


Ref:
[1]http://www.jianshu.com/p/4e17445d66e2

访问资源(详细)
小李不吃肉
08-25 3493
1:那些东西属于网络资源 js(s文件是允许被请求的)、css、图片等等,src属性的资源都是可以被请求的,href大多可以被请求的额。 2:那些资源请求的资源 1:后端接口的数据 2:其他的coolik 3:其他的缓存 3:怎么算,什么叫其他的 页面的协议、名、端口有任意一个不一样就算。 4:发生在哪里 首先我们要知道 (1):即使了,请求也可以发出去。...
JavaScript “顽疾”:多种场景下的巧妙突破之法
威哥说编程
11-17 1069
http://与https://不同)名相同端口号相同如果任一条件不相同,则会被视为请求。2. 常见的场景2.1. 通过 Ajax 或 Fetch 发起请求当我们通过或Fetch向不同源发起请求时,浏览器会因为同源策略而阻止请求。2.2.嵌入页面如果你使用嵌入了一个的页面,你的 JavaScript 代码无法直接访问 iframe 中的 DOM。2.3. Cookie请求可能会涉及到 cookies 的传递。
探讨请求资源的几种方式
weixin_33881041的博客
02-01 172
什么是 JSONP proxy代理 cors xdr   由于浏览器同源策略,凡是发送请求url的协议、名、端口三者之间任意一与当前页面地址不同即为。具体可以查看下表(来源)      JSONP   这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)。 1 <...
请求资源的方法
qq_38180685的博客
05-29 222
参考https://blog.youkuaiyun.com/wdlhao/article/details/79079660(1)、porxy代理定义和用法:proxy代理用于将请求发送给后台服务器,通过服务器来发送请求,然后将请求的结果传递给前端。实现方法:通过nginx代理;注意点:1、如果你代理的是https协议的请求,那么你的proxy首先需要信任该证书(尤其是自定义证书)或者忽略证书检查,否则你的请求...
请求资源的方式
dei5960的博客
11-26 166
文档地址:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS?tdsourcetag=s_pcqq_aiomsg#HTTP_%E5%93%8D%E5%BA%94%E9%A6%96%E9%83%A8%E5%AD%97%E6%AE%B5 1、使用jsonp    原生实现 ...
请求资源的方法有哪些?
张飞鹏的博客
03-19 1058
1.porxy代理 定义和用法:proxy代理用于将请求发送给后台服务器,通过服务器来发送请求,然后将请求的结果传递给前端。 实现方法:通过nginx代理; 注意点:如果你代理的是https协议的请求,那么你的proxy首先需要信任该证书(尤其是自定义证书)或者忽略证书检查,否则你的请求无法成功。 2.CORS 【Cross-Origin Resource Sharing】 定义和用法:是现代浏览...
Javascript 访问解决方案
10-30
JavaScript访问解决方案详解 由于浏览器的同源策略(Same-Origin Policy),JavaScript通常只能访问与当前页面同源(协议、名、端口均相同)的资源,以防止恶意脚本窃取数据。然而,在实际开发中,我们...
JavaScript cookie 访问之广告推广
10-22
根据提供的文件信息,可以提炼出关于JavaScript cookie访问的知识点,重点在于如何在广告推广场景中实现功能。下面详细说明这些知识点: 1. **访问的概念**:在Web开发中,指的是一个下的文档或...
AJAX javascript访问执行
10-30
问题是指当JavaScript尝试访问另一个资源时,浏览器的安全策略会阻止其执行。这是由于浏览器的同源策略(Same Origin Policy)所导致的。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的...
javascript原因以及解决方案分享
10-24
JavaScript问题主要源于浏览器的同源策略,这是一种安全机制,限制了JavaScript脚本只能访问与当前页面同协议、同名、同端口的资源。当尝试从一个名下的网页去请求另一个名的数据时,例如通过Ajax进行...
探讨请求资源的几种方式(总结)
09-01
主要介绍了探讨请求资源的几种方式(总结),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
请求的几种方式
12-27
请求资源的几种方式 由于浏览器同源策略,凡是发送请求url的协议、名、端口三者之间任意一与当前页面地址不同即为
什么是请求资源的方法
binlety
08-02 289
1、什么是? 由于浏览器同源策略,凡是发送请求url的协议、名、端口三者之间任意一与当前页面地址不同即为。存在的情况: 网络协议不同,如http协议访问https协议。 端口不同,如80端口访问8080端口。 名不同,如qianduanblog.com访问baidu.com。 子名不同,如abc.qianduanblog.com访问def.qianduanblog.co...
访问资源
xiaofangmin的博客
02-25 768
文章目录同源政策Ajax请求限制解决方法使用JSONP解决同源限制问题服务器端的解决方案CORS 资源共享cookie 同源政策 同源的概念:如果两个页面拥有相同的协议、名和端口,那么这两个页面就属于同一个源,只要有一个不相同,就是不同源。 http://www.example.com/dir/page.html作比较(没写端口名就默认为80端口) http://www.example.co...
jsonp请求资源使用方法与简单原理
dnidong的博客
12-05 2250
jsonp请求资源
什么是资源访问
让 Java 再次伟大!
10-11 687
属于不同源的资源之间互相请求时会产生「访问」的问题。各大浏览器通常基于「同源策略」对访问进行处理。而 CORS 则提供了资源共享的解决方案,使的同源策略能够通过 CORS 变得更加的灵活,以满足不同场景的需要。
微信小程序等候加载使用
前端路上坎坎坷坷,总有一天站在顶峰仰望世界!!!
12-17 1711
使用场景请求数据 开始请求前 wx.showLoading({ title: '加载中', }) 请求完毕 wx.hideLoading()
javascript访问
最新发布
02-15
### 解决资源共享 (CORS) 的 JavaScript 实现 当涉及到不同源之间的资源请求时,现代浏览器实施了严格的同源策略来保护用户的安全。为了绕过这些限制并合法地获取其他名上的数据,可以采用多种方式,其中最常用的是通过配置服务器端支持 CORS 来实现。 #### 利用 `fetch` API 进行简单的 GET 请求 对于不需要携带身份验证信息(如 cookie 或 HTTP 认证)的情况,可以直接利用 Fetch API 向目标 URL 发送 GET 请求: ```javascript fetch('https://api.example.com/data') .then(response => response.json()) .then(data => console.log(data)) .catch(error => console.error(error)); ``` 此代码片段展示了如何发起一个异步的网络调用来检索远程服务的数据,并将其解析为 JSON 对象以便进一步处理[^5]。 #### 设置带有凭证的请求 如果应用程序需要向另一个站点发送包含认证信息(例如 cookies)的请求,则必须确保客户端和服务端都正确设置了相应的头部参数。具体来说,在创建 XMLHttpRequest 对象实例之后,应该将 `withCredentials` 属性设为 true;与此同时,响应中也应当返回合适的 `Access-Control-Allow-Origin` 和 `Access-Control-Allow-Credentials` 字段值: ```javascript var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://example.com/api/resource'); xhr.withCredentials = true; xhr.onreadystatechange = function () { if (xhr.readyState === 4 && xhr.status >= 200 && xhr.status < 300) { console.log(JSON.parse(xhr.responseText)); } }; xhr.send(); ``` 需要注意的是,当启用了 credentials 支持后,`Access-Control-Allow-Origin` 不再能被设置成通配符 "*" ,而应指定具体的 URI 地址[^2]。 #### Spring Boot 中的处理 在某些情况下,可能希望简化开发流程并通过框架内置的功能自动管理 CORS 行为。以 Java 开发为例,Spring Boot 提供了一种便捷的方式来全局启用或针对特定控制器/路径定制化 CORS 策略。这通常涉及定义 @CrossOrigin 注解或者编写 WebMvcConfigurer 接口的具体实现类[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值