一  同源策略

1.1何谓同源?

  • 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的
  • 举个例子:
  • 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例:

1.2什么是同源策略?

  • 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。
  • 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

1.3不受同源策略限制的?

  1. 页面中的链接,重定向以及表单提交是不会受到同源策略限制的。
  2. 跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>等。

二  CROS(跨域资源共享)

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

三  CORS基本流程

3.1浏览器将CORS请求分成两类:

  • 简单请求(simple request)
  • 非简单请求(not-so-simple request
浏览器发出CORS:简单请求.只需要在头信息之中增加一个Origin字段。
浏览器发出CORS:非简单请求.会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

四  CORS两种请求详解

4.1只要同时满足以下两大条件,就属于简单的请求:

() 请求方法是以下三种方法之一:

HEAD

GET

POST

()HTTP的头信息不超出以下几种字段:

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。

浏览器对这两种请求的处理,是不一样的。

4.2简单请求和非简单请求的区别?

简单请求:一次请求
非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
- 请求方式:OPTIONS

- “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息

- 如何“预检”

     => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过

        Access-Control-Request-Method

     => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过

        Access-Control-Request-Headers
支持跨域,简单请求:
服务器设置响应头:Access-Control-Allow-Origin = '域名' 或 '*'
支持跨域复杂请求:
由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。
“预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
“预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers

五  Django项目中的应用

在返回结果中加入允许信息(简单请求):

def test(request):

    import json

    obj=HttpResponse(json.dumps({'name':'lqz'}))

    # obj['Access-Control-Allow-Origin']='*'

    obj['Access-Control-Allow-Origin']='http://127.0.0.1:8004'

    return obj

放到中间件中处理复杂和简单请求:



from django.utils.deprecation import MiddlewareMixin


class MyCorsMiddle(MiddlewareMixin):

    def process_response(self, request, response):

        # 简单请求:

        # 允许http://127.0.0.1:8001域向我发请求

        # ret['Access-Control-Allow-Origin']='http://127.0.0.1:8001'

        # 允许所有人向我发请求

        response['Access-Control-Allow-Origin'] = '*'

        if request.method == 'OPTIONS':

            # 所有的头信息都允许

            response['Access-Control-Allow-Headers'] = '*'

        return response




在settings中配置即可,在中间件中的位置可以随意放置.
												


											
django中同源策略和跨域解决方案的更多相关文章
	

    
								
  1. cors跨域和jsonp劫持漏洞   和    同源策略和跨域请求解决方案
		
    cors跨域和jsonp劫持漏洞: https://www.toutiao.com/a6759064986984645127/ 同源策略和跨域请求解决方案:https://www.jianshu.co ...
    
		
    2. 
						
  2. 11. cookie_session_原生ajax_readyState的值_同源策略_跨域_jsonp的使用
		
    1. cookie 浏览器存储技术.(服务器将少量数据交于浏览器存储管理) 作用: 存储数据, 解决 http 协议无状态问题 工作流程: 浏览器发送请求给服务器,请求登录 服务器返回响应给浏览器,此 ...
    
		
    3. 
						
  3. 第二百七十四节,同源策略和跨域Ajax
		
    同源策略和跨域Ajax 什么是同源策略  尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可.浏览器的各种保安措 ...
    
		
    4. 
						
  4. JS同源策略和跨域访问
		
    同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响.可以说Web是构建在同源策略基础之上的,浏览器只 ...
    
		
    5. 
						
  5. Ajax_同源策略以及跨域问题
		
    Ajax_同源策略 同源策略是浏览器的一种安全策略, 同源指的是:协议.域名.端口.必须完全相同. 违背同源策略就是跨域. 而AJAX是默认遵循同源策略的: 同源说通俗一点呢就是页面跟获取请求的接口是 ...
    
		
    6. 
						
  6. JS同源策略和跨域问题
		
    同源策略和跨域问题:http://www.cnblogs.com/chaoyuehedy/p/5556557.html 深入浅出JSONP--解决ajax跨域问题:http://www.cnblogs ...
    
		
    7. 
						
  7. 同源、同源策略、跨域问题、django解决方案
		
    什么是同源: URL由协议.域名.端口和路径组成,如果两个URL的协议.域名和端口相同,则表示他们同源. 注意:假如你的网站ip是123.123.123.123,网站的域名是www.abc.com.  ...
    
		
    8. 
						
  8. XSS中的同源策略和跨域问题
		
    转自 https://www.cnblogs.com/chaoyuehedy/p/5556557.html 1 同源策略 所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制.比如源a ...
    
		
    9. 
						
  9. ajax请求总是不成功?浏览器的同源策略和跨域问题详解
		
    场景 码农小明要做一个展示业务数据的大屏给老板看,里面包含了来自自己网站的数据和来自隔壁老王的数据.那么自己网站的数据提供了 http://xiaoming.com/whoami 这样的数据接口隔壁老 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 基于HTML5 Canvas 实现的 Loading 效果
			
    Sonic.js 是一个很小的 JavaScript 类,用于创建基于 HTML5 画布的加载图像.更强大的是 Sonic.js 还提供了基于现成的例子的创建工具,可以帮助你实现更多自定义的(Load ...
    
			
    2. 
						
  2. 实现ping程序
			
    //ping.h头文件如下所示: #define ICMP_ECHOREPLY 0 /*ECHO应答*/ #define ICMP_ECHO 8 /*ECHO请求*/ #define BUFSIZE  ...
    
			
    3. 
						
  3. Hadoop-2.2.0中文文档—— MapReduce 下一代 - Encrypted Shuffle
			
    简单介绍 Encrypted Shuffle capability (加密洗牌功能? )同意用HTTPS 和 可选的client验证 (也称作双向的 HTTPS, 或有client证书的 HTTPS) ...
    
			
    4. 
						
  4. Discretized Streams, 离散化的流数据处理
			
    Discretized Streams: An Efficient and Fault-Tolerant Model for Stream Processing on Large Clusters   ...
    
			
    5. 
						
  5. git error Another git process seems to be running in this repository
			
    How to fix error Another git process seems to be running in this repository When you use Git, you se ...
    
			
    6. 
						
  6. iframe超时处理。。。。
			
    function iframeTimeOut(url, timeOut_callback, width, height) { /// <summary> /// iframe超时处理 // ...
    
			
    7. 
						
  7. 求出每个team粉丝数最多的3个国家
			
    有这么个表 fans(team,nationality,fanCount) 'Barcelona','Germany',12000'Barcelona','Spain',18000'Barcelona ...
    
			
    8. 
						
  8. Linux心得记录
			
    2014.4.8 linux环境下如何删除一个目录? rm -r linux本身提供删除目录命令——rmdir,但是如果你要删除的目录中含有子目录或者子文件,那么该命令会提示“删除失败:目录非空“也就 ...
    
			
    9. 
						
  9. 漫游Kafka入门篇之简单介绍(1)
			
    介绍 Kafka是一个分布式的.可分区的.可复制的消息系统.它提供了普通消息系统的功能,但具有自己独特的设计.这个独特的设计是什么样的呢?   首先让我们看几个基本的消息系统术语: Kafka将消息以 ...
    
			
    10. 
						
  10. u盘作为git仓库,完成不同地方的代码同步
			
    参考网上一篇 "把Git Repository建到U盘上去" 1.我经常有这样的需求,工作.家里需要对同一份代码或文档编辑,并希望在不同地方能同步: 如果是私密性不那么强,可以直接 ...
    
			
    11.