今天前后端在联调接口的时候,发生了跨域请求资源获取不到的问题。

首先说明下跨域问题的由来。引自HTTP 访问控制 的一段话:

当 Web 资源请求由其它域名或端口提供的资源时,会发起跨域 HTTP 请求(cross-origin HTTP request)。

比如,站点 http://domain-a.com 的某 HTML 页面通过 <img> 的 src 请求 http://domain-b.com/image.jpg。网络上,很多页面从其他站点加载各类资源(包括 CSS、图片、JavaScript 脚本)。

出于安全考虑,浏览器会限制脚本中发起的跨域请求。比如,使用 XMLHttpRequest 和 Fetch 发起的 HTTP 请求必须遵循同源策略。因此,Web 应用通过 XMLHttpRequest 对象或 Fetch 仅能向同域资源发起 HTTP 请求。

既然知道了导致问题的原因,就开始解决吧。

笔者使用的 是 Django 框架。github 上面已经有人分享了解决办法,就是 django-cors-headers。我们直接

pip install django-cors-headers

安装一下呗。

安装好了以后,需要我们去 settings 文件中去配置一下。常见的配置如下:

  • 先在 INSTALLED_APPS 中引入 corsheaders:
INSTALLED_APPS = (

    ...

    'corsheaders',

    ...

)
  • 接着,在 MIDDLEWARE_CLASSES 里面加入 CorsMiddleware 中间件:
MIDDLEWARE_CLASSES = [

    ...

    'corsheaders.middleware.CorsMiddleware',  # cors

    'django.middleware.common.CommonMiddleware',

    ...
  • 然后,配置下一些基本参数:
CORS_ORIGIN_ALLOW_ALL = True

CORS_ALLOW_CREDENTIALS = True

一些文章还有配置 CORS_ORIGIN_WHITELIST 参数。

笔者也是看了别人的解决方法,之前也是实践过了。配置好这三个参数就OK了。本来也以为大工告成了。没想到,居然没解决!!!

怎么回事?

通过追踪请求日志,发现每次客户端请求接口的时候,都会有一个 OPTIONS 请求。

为什么会有 OPTIONS 请求?

原来,产生 OPTIOINS 请求的原因是:自定义 Headers 头信息导致的。为了限制接口的访问,我在 request 中间件里面加了一层过滤,通过判断 headers 中是否有约定好的字段及其对应的值(比如:key为 aaa, value为 bbb),如果有,就默认可以请求。设置完自定义 header 字段后,问题就出现了:原来的简单请求会变成预检请求。

XHR对象对于HTTP跨域请求有三种:简单请求、Preflighted 请求、Preflighted 认证请求。简单请求不需要发送OPTIONS嗅探请求,但只能按发送简单的GET、HEAD或POST请求,且不能自定义HTTP Headers。Preflighted 请求和认证请求,XHR会首先发送一个OPTIONS嗅探请求,然后XHR会根据OPTIONS请求返回的Access-Control-*等头信息判断是否有对指定站点的访问权限,并最终决定是否发送实际请求信息。

浏览器会去向 Server 端发送一个 OPTIONS 请求,看 Server 返回的 "Access-Control-Allow-Headers" 是否有自定义的 header 字段。因为我之前没有返回自定义的字段,所以,默认是不允许的,造成了客户端没办法拿到数据。

既然已经知道了原因,且知道了解决思路,就动手干吧。通过阅读 django-cors-headers 的源码后,发现 **corsheaders/middleware.py ** 里面已经有实现了,那就不再重复造轮子了。

def process_response(self, request, response):

        """

        Add the respective CORS headers

        """

        origin = request.META.get('HTTP_ORIGIN')

        if not origin:

            return response

        enabled = getattr(request, '_cors_enabled', None)

        if enabled is None:

            enabled = self.is_enabled(request)

        if not enabled:

            return response

        # todo: check hostname from db instead

        url = urlparse(origin)

        if conf.CORS_ALLOW_CREDENTIALS:

            response[ACCESS_CONTROL_ALLOW_CREDENTIALS] = 'true'

        if (

            not conf.CORS_ORIGIN_ALLOW_ALL and

            not self.origin_found_in_white_lists(origin, url) and

            not self.origin_found_in_model(url) and

            not self.check_signal(request)

        ):

            return response

        if conf.CORS_ORIGIN_ALLOW_ALL and not conf.CORS_ALLOW_CREDENTIALS:

            response[ACCESS_CONTROL_ALLOW_ORIGIN] = "*"

        else:

            response[ACCESS_CONTROL_ALLOW_ORIGIN] = origin

            patch_vary_headers(response, ['Origin'])

        if len(conf.CORS_EXPOSE_HEADERS):

            response[ACCESS_CONTROL_EXPOSE_HEADERS] = ', '.join(conf.CORS_EXPOSE_HEADERS)

        if request.method == 'OPTIONS':

            response[ACCESS_CONTROL_ALLOW_HEADERS] = ', '.join(conf.CORS_ALLOW_HEADERS)

            response[ACCESS_CONTROL_ALLOW_METHODS] = ', '.join(conf.CORS_ALLOW_METHODS)

            if conf.CORS_PREFLIGHT_MAX_AGE:

                response[ACCESS_CONTROL_MAX_AGE] = conf.CORS_PREFLIGHT_MAX_AGE

        return response

看完后,发现只要配置下 CORS_ALLOW_HEADERS 就好。

from corsheaders.defaults import default_headers

CORS_ALLOW_HEADERS = default_headers + (

    'aaa'

)

至此,问题就算解决了。

参考链接:

记一次 CORS 跨域请求出现 OPTIONS 请求的问题及解决方法的更多相关文章

  1. CORS跨域限制以及预请求验证

    之前我们可以通过“Access-Control-Allow-Origin”,实现跨域请求,那是不是所有跨域请求都可以通过设置Access-Control-Allow-Origin实现跨域请求呢?显然不 ...

  2. CORS 跨域中的 preflight 请求

    我们知道借助Access-Control-Allow-Origin响应头字段可以允许跨域 AJAX, 对于非简单请求,CORS 机制跨域会首先进行 preflight(一个 OPTIONS 请求), ...

  3. http跨域时的options请求

    1.背景 在前后端分离的项目中经常会遇到跨域请求的问题,如果没有进行跨域配置,会浏览器请求失败.我一般采用两种解决方案: 1.采用nginx进行转发,是前后端服务处于同一个域下面,从根本上避免跨域问题 ...

  4. ajax跨域通过 Cors跨域资源共享 进行GetPost请求

    using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Ne ...

  5. JSONP跨域和CORS跨域

    什么是跨域? 跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名.协议.端口均相同. 浏览器执行JavaScript脚本时,会检查这 ...

  6. 解决ajax请求cors跨域问题

    ”已阻止跨源请求:同源策略禁止读取位于 ***** 的远程资源.(原因:CORS 头缺少 'Access-Control-Allow-Origin').“ ”已阻止跨源请求:同源策略禁止读取位于 ** ...

  7. Java实现CORS跨域请求

    问题 使用前后端分离模式开发项目时,往往会遇到这样一个问题 -- 无法跨域获取服务端数据 这是由于浏览器的同源策略导致的,目的是为了安全.在前后端分离开发模式备受青睐的今天,前端和后台项目往往会在不同 ...

  8. CORS——跨域请求那些事儿

    在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on th ...

  9. Spring Boot Web应用开发 CORS 跨域请求支持:

    Spring Boot Web应用开发 CORS 跨域请求支持: 一.Web开发经常会遇到跨域问题,解决方案有:jsonp,iframe,CORS等等CORS与JSONP相比 1. JSONP只能实现 ...

随机推荐

  1. Android微信智能心跳方案 Android微信智能心跳方案

    原文地址: http://mp.weixin.qq.com/s?__biz=MzAwNDY1ODY2OQ==&mid=207243549&idx=1&sn=4ebe4beb81 ...

  2. 9-第一个app项目

    <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android=&quo ...

  3. url链接打开本地应用(测试通过)

    基于windows!! 类比mailto://XXXX 主要参考: https://www.cnblogs.com/snow365/p/6428212.html 应用 1.在网页上本地办公 网页应用越 ...

  4. [POI2008]KUP-Plot purchase(单调队列)

    题意 给定k,n,和n*n的矩阵,求一个子矩形满足权值和在[k,2k]之间 , 题解 这里用到了极大化矩阵的思想.推荐论文<浅谈用极大化思想解决最大子矩阵问题>Orz 如果有一个元素在[k ...

  5. [NOIP2012提高组]国王游戏

    题目:洛谷P1080.Vijos P1779.codevs1198. 题目大意:国王和每个大臣左.右手各写了一个数.规定每个大臣得到的金币数为他前面所有人左手的数字的乘积除以他自己右手的数(向下取整) ...

  6. [HNOI2006]超级英雄(二分+网络流)

    [HNOI2006]超级英雄 题目描述 现在电视台有一种节目叫做超级英雄,大概的流程就是每位选手到台上回答主持人的几个问题,然后根据回答问题的多少获得不同数目的奖品或奖金.主持人问题准备了若干道题目, ...

  7. js中数组增删查改unshift、push、pop、shift、slice、indexOf、concat、join

    js中数组增删查改unshift.push.pop.shift.slice.indexOf.concat.join

  8. 【Educational Codeforces Round 37 E】Connected Components?

    [链接] 我是链接,点我呀:) [题意] 在这里输入题意 [题解] bfs. 用一个链表来记录哪些点已经确定在某一个联通快里了. 一开始每个点都能用. 然后从第一个点开始进行bfs. 然后对于它的所有 ...

  9. ECNUOJ 2575 Separate Connections

    Separate Connections Time Limit:5000MS Memory Limit:65536KBTotal Submit:421 Accepted:41 Description  ...

  10. iOS 卖票中多线程分析;

    注意:(主要一个加锁机制)