同源策略與CORS跨域請求

1、同源策略

一、簡介　　

　　同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，若是缺乏了同源策略，則瀏覽器的正常功能可能都會受到影響。能夠說Web是構建在同源策略基礎之上的，瀏覽器只是針對同源策略的一種實現。

　　請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,端口,協議相同.

　　好比:我在本地上的域名是127.0.0.1:8000,請求另一個域名：127.0.0.1:8001一段數據

　　瀏覽器上就會報錯，這就是同源策略的保護,若是瀏覽器對javascript沒有同源策略的保護,那麼一些重要的機密網站將會很危險

二、實例

　同源策略，它是由Netscape提出的一個著名的安全策略。如今全部支持JavaScript 的瀏覽器都會使用這個策略。所謂同源是指，域名，協議，端口相同。當一個瀏覽器的兩個tab頁中分別打開來 百度和谷歌的頁面當瀏覽器的百度tab頁執行一個腳本的時候會檢查這個腳本是屬於哪一個頁面的，即檢查是否同源，只有和百度同源的腳本纔會被執行。若是非同源，那麼在請求數據時，瀏覽器會在控制檯中報一個異常，提示拒絕訪問。看以下示例：

　　1）建立一個django項目一：

============= http://127.0.0.1:8000項目的index
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script>
</head>
<body>

<button>ajax請求</button>

<script>
    $('button').click(function () {

        $.ajax({
            url: 'http://127.0.0.1:8008/books/',
            type: 'get',
            success: function (res) {
                console.log(res)
            }
        })

    })
</script>

</body>
</html>

============= http://127.0.0.1:8000項目的views
from django.shortcuts import render

def index(request):
    return render(request, 'index.html')

　　2）建立一個django項目二：

============= http://127.0.0.1:8008項目的index
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script>
</head>
<body>

<button>ajax請求</button>

<script>
    $('button').click(function () {

        $.ajax({
            url: '/books/',
            type: 'get',
            success: function (res) {
                console.log(res)
            }
        })

    })
</script>

</body>
</html>

============= http://127.0.0.1:8008項目的views
from django.shortcuts import render
from django.http import JsonResponse

def index(request):
    return render(request, 'index.html')

def books(request):
    return JsonResponse(['s2-python', 's2-java'], safe=False)　

　　當點擊項目二的按鈕時，能夠正常發送並請求到數據，可是點擊項目一的按鈕時，控制檯會報以下錯誤：

Access to XMLHttpRequest at 'http://127.0.0.1:8008/books/' from origin 'http://127.0.0.1:8000' 
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

　　可是注意，項目二中的訪問已經發生了，說明是瀏覽器對非同源請求返回的結果作了攔截。

　　解決方式，項目二views的books函數修改以下：

def books(request):
    obj = JsonResponse(['s2-python', 's2-java'], safe=False)
    obj['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8000'

    return obj

2、CORS（跨域資源共享）

一、什麼是CORS（跨域資源共享）　

　　CORS須要瀏覽器和服務器同時支持。目前，全部瀏覽器都支持該功能，IE瀏覽器不能低於IE10。

　　整個CORS通訊過程，都是瀏覽器自動完成，不須要用戶參與。對於開發者來講，CORS通訊與同源的AJAX通訊沒有差異，代碼徹底同樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感受。

　　所以，實現CORS通訊的關鍵是服務器。只要服務器實現了CORS接口，就能夠跨源通訊。

二、CORS基本流程

瀏覽器將CORS請求分紅兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

簡單請求：

瀏覽器發出CORS簡單請求，只須要在頭信息之中增長一個Origin字段。

非簡單請求：

瀏覽器發出CORS非簡單請求，會在正式通訊以前，增長一次HTTP查詢請求，稱爲"預檢"請求（preflight）。瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可使用哪些HTTP動詞和頭信息字段。只有獲得確定答覆，瀏覽器纔會發出正式的XMLHttpRequest請求，不然就報錯。

三、CORS兩種請求詳解

瀏覽器對這兩種請求的處理，是不同的。

* 簡單請求和非簡單請求的區別？

   簡單請求：一次請求
   非簡單請求：兩次請求，在發送數據以前會先發一次請求用於作「預檢」，只有「預檢」經過後纔再發送一次請求用於數據傳輸。
* 關於「預檢」

- 請求方式：OPTIONS
- 「預檢」其實作檢查，檢查若是經過則容許傳輸數據，檢查不經過則再也不發送真正想要發送的消息
- 如何「預檢」
     => 若是複雜請求是PUT等請求，則服務端須要設置容許某請求，不然「預檢」不經過
        Access-Control-Request-Method
     => 若是複雜請求設置了請求頭，則服務端須要設置容許某請求頭，不然「預檢」不經過
        Access-Control-Request-Headers

 

簡單請求：

1.知足條件

（1）請求方法是如下三種方法之一： HEAD GET POST

（2）HTTP的頭信息不超出如下幾種字段： Accept Accept-Language Content-Language Last-Event-ID Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

支持跨域，簡單請求

服務器設置響應頭：Access-Control-Allow-Origin = '域名' 或 '*'

非簡單請求：

1.知足條件

凡是不一樣時知足上面兩個條件，就屬於非簡單請求。

支持跨域，複雜請求

因爲複雜請求時，首先會發送「預檢」請求，若是「預檢」成功，則發送真實數據。

• 「預檢」請求時，容許請求方式則需服務器設置響應頭：Access-Control-Request-Method
• 「預檢」請求時，容許請求頭則需服務器設置響應頭：Access-Control-Request-Headers

四、Django項目中支持CORS

在返回的結果中加入容許信息（簡單請求）

def test(request):
    import json
    obj=HttpResponse(json.dumps({'name':'lqz'}))
    # obj['Access-Control-Allow-Origin']='*'
    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
    return obj

放到中間件處理複雜和簡單請求：

from django.utils.deprecation import MiddlewareMixin

class CorsMiddleWare(MiddlewareMixin):

    def process_response(self,request,response):


        if request.method=="OPTIONS":
            #不能加*
            response["Access-Control-Allow-Headers"]="Content-Type"

        response["Access-Control-Allow-Origin"] = "http://localhost:8080"

        return response

也能夠把下面這段內容放到一個py文件內當作中間件，並配置到settings裏便可