同源策略、CORS

1、同源策略

　　同源策略（Same origin policy） 是一種約定, 它是瀏覽器最核心也是最基本的安全功能 , 若是缺乏了同源策略, 則瀏覽器的正常功能可能都會受影響 , 能夠說web是構建在同源策略基礎值上的, 瀏覽器只是針對同源策略的一種實現.

　　同源策略, 它是由Netscape提出的一個著名的安全策略。如今全部支持JavaScript 的瀏覽器都會使用這個策略。所謂同源是指，域名，協議，端口相同。當一個瀏覽器的兩個tab頁中分別打開來 百度和谷歌的頁面當瀏覽器的百度tab頁執行一個腳本的時候會檢查這個腳本是屬於哪一個頁面的，即檢查是否同源，只有和百度同源的腳本纔會被執行。若是非同源，那麼在請求數據時，瀏覽器會在控制檯中報一個異常，提示拒絕訪問。看以下示例：

　　建立一個Django 項目一:

============= http://127.0.0.1:8000項目的index
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script>
</head>
<body>

<button>ajax請求</button>

<script>
    $('button').click(function () {

        $.ajax({
            url: 'http://127.0.0.1:8008/books/',
            type: 'get',
            success: function (res) {
                console.log(res)
            }
        })

    })
</script>

</body>
</html>

============= http://127.0.0.1:8000項目的views
from django.shortcuts import render

def index(request):
    return render(request, 'index.html')

建立一個Django項目二 : 

============= http://127.0.0.1:8008項目的index
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script>
</head>
<body>

<button>ajax請求</button>

<script>
    $('button').click(function () {

        $.ajax({
            url: '/books/',
            type: 'get',
            success: function (res) {
                console.log(res)
            }
        })

    })
</script>

</body>
</html>

============= http://127.0.0.1:8008項目的views
from django.shortcuts import render
from django.http import JsonResponse

def index(request):
    return render(request, 'index.html')

def books(request):
    return JsonResponse(['s2-python', 's2-java'], safe=False)

　　當點擊項目二的按鈕時, 能夠正常發送並請求到數據, 可是點擊項目一的按鈕時, 頁面控制檯會報以下錯誤:

Access to XMLHttpRequest at 'http://127.0.0.1:8008/books/' from origin 'http://127.0.0.1:8000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

　　可是注意 : 項目二中的訪問已經發生了, 說明是瀏覽器對同源請求返回的結果作了攔截, 

　　解決方式 , 項目二views 的books 函數修改以下 :

def books(request):

    obj = JsonResponse(['s2-python', 's2-java'], safe=False)
    obj['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8000'

    return obj

2、CORS

　　CORS須要瀏覽器和服務器同時支持, 目前, 全部瀏覽器 都支持該功能，IE瀏覽器不能低於IE10。                   

　　整個CORS通訊過程，都是瀏覽器自動完成，不須要用戶參與。對於開發者來講，CORS通訊與同源的AJAX通訊沒有差異，代碼徹底同樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感受。

　　所以，實現CORS通訊的關鍵是服務器。只要服務器實現了CORS接口，就能夠跨源通訊。

　　瀏覽器將CORS請求分紅兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

　　只要同時知足如下兩大條件，就屬於簡單請求。

（1) 請求方法是如下三種方法之一：
　　HEAD
　　GET
　　POST
（2）HTTP的頭信息不超出如下幾種字段：
　　Accept
　　Accept-Language
　　Content-Language
　　Last-Event-ID
　　Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

　　凡是不一樣時知足上面兩個條件, 就屬於簡單請求, 瀏覽器對這兩種請求的處理,是不同額

　　簡單請求和非簡單請求的區別?

　　　　簡單請求 : 一次請求

　　　　非簡單請求 : 兩次請求, 在發送數據以前會現發一次請求用於作  " 預檢" , 

只有  "預檢 "   經過後纔再發送一次請求用於數據傳輸 ; 

　　關於  " 預檢"  :

　　　-　　請求方式 : OPTIONS

　　　-　　"預檢"  其實作檢查 , 檢查若是經過則容許傳輸數據, 檢查不經過則再也不發送真正想要發送的消息 

　　-　　如何  " 預檢"

　　　　=> 若是複雜請求是PUT 等請求, 則服務端須要設置容許某請求 , 不然 " 預檢"  不經過

　　　　Access-Control-Request-Method

　　　　=> 若是複雜請求設置了請求頭 , 則服務端須要設置容許某請求頭 , 不然 " 預檢"  不經過

　　　　Access-Control-Request-Headers

　　　支持跨域, 簡單請求:

　　　　服務器設置響應頭 : Access-Control-Allow-Origin = '域名' 或 '*'

　　 支持跨域 , 複雜請求 : 

　　　　因爲複雜請求時, 首先會發送  " 預檢"  請求 , 若是  " 預檢"  成功, 則發送真實數據 , 　

　　- 「預檢」請求時，容許請求方式則需服務器設置響應頭：Access-Control-Request-Method

　　　　- 「預檢」請求時，容許請求頭則需服務器設置響應頭：Access-Control-Request-Headers