跨域請求剖析
同源策略
同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,若是缺乏了同源策略,則瀏覽器的正常功能可能都會受到影響。能夠說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現javascript
請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,端口,協議相同.html
好比:我在本地上的域名是127.0.0.1:8000,請求另一個域名:127.0.0.1:8001一段數據java
瀏覽器上就會報錯,個就是同源策略的保護,若是瀏覽器對javascript沒有同源策略的保護,那麼一些重要的機密網站將會很危險django
已攔截跨源請求:同源策略禁止讀取位於 http://127.0.0.1:8001/SendAjax/ 的遠程資源。(緣由:CORS 頭缺乏 'Access-Control-Allow-Origin')。
可是注意,項目2中的訪問已經發生了,說明是瀏覽器對非同源請求返回的結果作了攔截json
CORS(跨域資源共享)簡介
CORS須要瀏覽器和服務器同時支持。目前,全部瀏覽器都支持該功能,IE瀏覽器不能低於IE10。跨域
整個CORS通訊過程,都是瀏覽器自動完成,不須要用戶參與。對於開發者來講,CORS通訊與同源的AJAX通訊沒有差異,代碼徹底同樣。瀏覽器一旦發現AJAX請求跨源,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求,但用戶不會有感受。瀏覽器
所以,實現CORS通訊的關鍵是服務器。只要服務器實現了CORS接口,就能夠跨源通訊。安全
CORS基本流程
瀏覽器將CORS請求分紅兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。
瀏覽器發出CORS簡單請求,只須要在頭信息之中增長一個Origin字段。
瀏覽器發出CORS非簡單請求,會在正式通訊以前,增長一次HTTP查詢請求,稱爲"預檢"請求(preflight)。瀏覽器先詢問服務器,當前網頁所在的域名是否在服務器的許可名單之中,以及能夠使用哪些HTTP動詞和頭信息字段。只有獲得確定答覆,瀏覽器纔會發出正式的XMLHttpRequest請求,不然就報錯。服務器
CORS兩種請求詳解
只要同時知足如下兩大條件,就屬於簡單請求app
(1) 請求方法是如下三種方法之一: HEAD GET POST (2)HTTP的頭信息不超出如下幾種字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不一樣時知足上面兩個條件,就屬於非簡單請求。
瀏覽器對這兩種請求的處理,是不同的
* 簡單請求和非簡單請求的區別?
簡單請求:一次請求
非簡單請求:兩次請求,在發送數據以前會先發一次請求用於作「預檢」,只有「預檢」經過後纔再發送一次請求用於數據傳輸。
* 關於「預檢」
- 請求方式:OPTIONS
- 「預檢」其實作檢查,檢查若是經過則容許傳輸數據,檢查不經過則再也不發送真正想要發送的消息
- 如何「預檢」
=> 若是複雜請求是PUT等請求,則服務端須要設置容許某請求,不然「預檢」不經過
Access-Control-Request-Method
=> 若是複雜請求設置了請求頭,則服務端須要設置容許某請求頭,不然「預檢」不經過
Access-Control-Request-Headers
支持跨域,簡單請求
服務器設置響應頭:Access-Control-Allow-Origin = '域名' 或 '*'
支持跨域,複雜請求
因爲複雜請求時,首先會發送「預檢」請求,若是「預檢」成功,則發送真實數據。
- 「預檢」請求時,容許請求方式則需服務器設置響應頭:Access-Control-Request-Method
- 「預檢」請求時,容許請求頭則需服務器設置響應頭:Access-Control-Request-Headers
Django項目中支持CORS
在返回的結果中加入容許信息(簡單請求)
def test(request):
import json
obj=HttpResponse(json.dumps({'name':'lqz'}))
# obj['Access-Control-Allow-Origin']='*'
obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'
return obj
放到中間件處理複雜和簡單請求
from django.utils.deprecation import MiddlewareMixin
class CorsMiddleWare(MiddlewareMixin):
def process_response(self,request,response):
if request.method=="OPTIONS":
#能夠加*
response["Access-Control-Allow-Headers"]="Content-Type"
response["Access-Control-Allow-Origin"] = "http://localhost:8080"
return response
- 1. 淺析CORS跨域請求
- 2. 跨域請求
- 3. Zepto跨域請求
- 4. PhoneGap:JS跨域請求
- 5. CORS跨域請求
- 6. 跨域請求 CORS
- 7. jsonp 跨域請求
- 8. jsonp跨域請求
- 9. Ajax跨域請求
- 10. Http--跨域請求
- 更多相關文章...
- • HTTP 請求方法 - HTTP 教程
- • 發送ICMP時間戳請求 - TCP/IP教程
- • PHP Ajax 跨域問題最佳解決方案
- • 互聯網組織的未來:剖析GitHub員工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window下Ribbit MQ安裝
- 2. Linux下Redis安裝及集羣搭建
- 3. shiny搭建網站填坑戰略
- 4. Mysql8.0.22安裝與配置詳細教程
- 5. Hadoop安裝及配置
- 6. Python爬蟲初學筆記
- 7. 部署LVS-Keepalived高可用集羣
- 8. keepalived+mysql高可用集羣
- 9. jenkins 公鑰配置
- 10. HA實用詳解
- 1. 淺析CORS跨域請求
- 2. 跨域請求
- 3. Zepto跨域請求
- 4. PhoneGap:JS跨域請求
- 5. CORS跨域請求
- 6. 跨域請求 CORS
- 7. jsonp 跨域請求
- 8. jsonp跨域請求
- 9. Ajax跨域請求
- 10. Http--跨域請求