django中同源策略和跨域解決方案

一  同源策略

1.1何謂同源?

• 若是兩個頁面的協議，端口（若是有指定）和域名都相同，則兩個頁面具備相同的源。
• 舉個例子：
• 下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例: 

1.2什麼是同源策略?

• 同源策略是瀏覽器的一個安全功能，不一樣源的客戶端腳本在沒有明確受權的狀況下，不能讀寫對方資源。因此xyz.com下的js腳本採用ajax讀取abc.com裏面的文件數據是會被拒絕的。
• 同源策略限制了從同一個源加載的文檔或腳本如何與來自另外一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。

1.3不受同源策略限制的?

1. 頁面中的連接，重定向以及表單提交是不會受到同源策略限制的。
2. 跨域資源的引入是能夠的。可是js不能讀寫加載的內容。如嵌入到頁面中的<script src="..."></script>，<img>，<link>，<iframe>等。

二  CROS(跨域資源共享)

CORS須要瀏覽器和服務器同時支持。目前，全部瀏覽器都支持該功能，IE瀏覽器不能低於IE10。

整個CORS通訊過程，都是瀏覽器自動完成，不須要用戶參與。對於開發者來講，CORS通訊與同源的AJAX通訊沒有差異，代碼徹底同樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感受。

所以，實現CORS通訊的關鍵是服務器。只要服務器實現了CORS接口，就能夠跨源通訊。

三  CORS基本流程

3.1瀏覽器將CORS請求分紅兩類：

• 簡單請求（simple request）
• 非簡單請求（not-so-simple request）

瀏覽器發出CORS:簡單請求.只須要在頭信息之中增長一個Origin字段。

瀏覽器發出CORS:非簡單請求.會在正式通訊以前，增長一次HTTP查詢請求，稱爲"預檢"請求（preflight）。瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可使用哪些HTTP動詞和頭信息字段。只有獲得確定答覆，瀏覽器纔會發出正式的XMLHttpRequest請求，不然就報錯。

四  CORS兩種請求詳解

4.1只要同時知足如下兩大條件,就屬於簡單的請求:

 

（1) 請求方法是如下三種方法之一：
HEAD
GET
POST
（2）HTTP的頭信息不超出如下幾種字段：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不一樣時知足上面兩個條件，就屬於非簡單請求。

瀏覽器對這兩種請求的處理，是不同的。

4.2簡單請求和非簡單請求的區別?

簡單請求:一次請求

非簡單請求:兩次請求，在發送數據以前會先發一次請求用於作「預檢」，只有「預檢」經過後纔再發送一次請求用於數據傳輸。

- 請求方式：OPTIONS
- 「預檢」其實作檢查，檢查若是經過則容許傳輸數據，檢查不經過則再也不發送真正想要發送的消息
- 如何「預檢」
     => 若是複雜請求是PUT等請求，則服務端須要設置容許某請求，不然「預檢」不經過
        Access-Control-Request-Method
     => 若是複雜請求設置了請求頭，則服務端須要設置容許某請求頭，不然「預檢」不經過
        Access-Control-Request-Headers

支持跨域,簡單請求:

服務器設置響應頭：Access-Control-Allow-Origin = '域名' 或 '*'

支持跨域複雜請求:

因爲複雜請求時，首先會發送「預檢」請求，若是「預檢」成功，則發送真實數據。

「預檢」請求時，容許請求方式則需服務器設置響應頭：Access-Control-Request-Method

「預檢」請求時，容許請求頭則需服務器設置響應頭：Access-Control-Request-Headers

五  Django項目中的應用

在返回結果中加入容許信息(簡單請求):

def test(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # obj['Access-Control-Allow-Origin']='*'
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
    return obj

放到中間件中處理複雜和簡單請求:

from django.utils.deprecation import MiddlewareMixin

class MyCorsMiddle(MiddlewareMixin):
    def process_response(self, request, response):
        # 簡單請求:
        # 容許http://127.0.0.1:8001域向我發請求
        # ret['Access-Control-Allow-Origin']='http://127.0.0.1:8001'
        # 容許全部人向我發請求
        response['Access-Control-Allow-Origin'] = '*'
        if request.method == 'OPTIONS':
            # 全部的頭信息都容許
            response['Access-Control-Allow-Headers'] = '*'
        return response

在settings中配置便可,在中間件中的位置能夠隨意放置.