一 同源策略

同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會(huì)受到影響。可以說(shuō)Web是構(gòu)建在同源策略基礎(chǔ)之上的，瀏覽器只是針對(duì)同源策略的一種實(shí)現(xiàn)

請(qǐng)求的url地址,必須與瀏覽器上的url地址處于同域上,也就是域名,端口,協(xié)議相同.

比如:我在本地上的域名是127.0.0.1:8000,請(qǐng)求另外一個(gè)域名：127.0.0.1:8001一段數(shù)據(jù)

瀏覽器上就會(huì)報(bào)錯(cuò)，個(gè)就是同源策略的保護(hù),如果瀏覽器對(duì)javascript沒(méi)有同源策略的保護(hù),那么一些重要的機(jī)密網(wǎng)站將會(huì)很危險(xiǎn)

已攔截跨源請(qǐng)求：同源策略禁止讀取位于 http://127.0.0.1:8001/SendAjax/ 的遠(yuǎn)程資源。（原因：CORS 頭缺少 ’Access-Control-Allow-Origin’）

但是注意，項(xiàng)目2中的訪問(wèn)已經(jīng)發(fā)生了，說(shuō)明是瀏覽器對(duì)非同源請(qǐng)求返回的結(jié)果做了攔截

二 CORS（跨域資源共享）簡(jiǎn)介

CORS需要瀏覽器和服務(wù)器同時(shí)支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低于IE10。

整個(gè)CORS通信過(guò)程，都是瀏覽器自動(dòng)完成，不需要用戶參與。對(duì)于開(kāi)發(fā)者來(lái)說(shuō)，CORS通信與同源的AJAX通信沒(méi)有差別，代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請(qǐng)求跨源，就會(huì)自動(dòng)添加一些附加的頭信息，有時(shí)還會(huì)多出一次附加的請(qǐng)求，但用戶不會(huì)有感覺(jué)。

因此，實(shí)現(xiàn)CORS通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實(shí)現(xiàn)了CORS接口，就可以跨源通信。

三 CORS基本流程

瀏覽器將CORS請(qǐng)求分成兩類：簡(jiǎn)單請(qǐng)求（simple request）和非簡(jiǎn)單請(qǐng)求（not-so-simple request）。 瀏覽器發(fā)出CORS簡(jiǎn)單請(qǐng)求，只需要在頭信息之中增加一個(gè)Origin字段。 瀏覽器發(fā)出CORS非簡(jiǎn)單請(qǐng)求，會(huì)在正式通信之前，增加一次HTTP查詢請(qǐng)求，稱為'預(yù)檢'請(qǐng)求（preflight）。瀏覽器先詢問(wèn)服務(wù)器，當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動(dòng)詞和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求，否則就報(bào)錯(cuò)。

四 CORS兩種請(qǐng)求詳解

只要同時(shí)滿足以下兩大條件，就屬于簡(jiǎn)單請(qǐng)求。

（1) 請(qǐng)求方法是以下三種方法之一：

HEAD GET POST

（2）HTTP的頭信息不超出以下幾種字段：

Accept Accept-Language Content-Language Last-Event-ID

Content-Type：只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data、text/plain

創(chuàng)建兩個(gè)Django項(xiàng)目：簡(jiǎn)單請(qǐng)求：get、application/x-www-form-urlencoded

mysite1項(xiàng)目---------127.0.0.0:8008 (8008向8006端口發(fā)送簡(jiǎn)單請(qǐng)求)

views.py

from django.shortcuts import render# Create your views here.def test(request): return render(request,’index.html’)

template/index.html

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <script src='https://rkxy.com.cn/static/jquery-3.3.1.js'></script> <title>Title</title></head><body><button id='mybutton'>點(diǎn)我</button></body><script> $('#mybutton').click(function () { $.ajax({ url:’http://127.0.0.1:8006/mytest’, #向該ip端口發(fā)送一個(gè)get的簡(jiǎn)單請(qǐng)求 type:’get’, success:function (data) {console.log(data) } }) })</script></html>

mysite2項(xiàng)目---------127.0.0.0:8006

views.py

def mytest(request): import json print(’111’) obj = HttpResponse(json.dumps({’name’: ’lqz’})) # if request.method==’OPTIONS’: # obj[’Access-Control-Allow-Methods’]=’PUT’ # obj[’Access-Control-Allow-Headers’]=’k1’ # # # # obj[’Access-Control-Allow-Origin’]=’http://127.0.0.1:8008’ # obj[’Access-Control-Allow-Origin’]=’*’ return obj

就是由于同源策略被被瀏覽器阻止了，所以請(qǐng)求沒(méi)有成功返回?cái)?shù)據(jù)(其實(shí)數(shù)據(jù)已經(jīng)從服務(wù)器成功請(qǐng)求回來(lái)，只是由于同源策略請(qǐng)求成功的數(shù)據(jù)被瀏覽器阻止了)

凡是不同時(shí)滿足上面兩個(gè)條件，就屬于非簡(jiǎn)單請(qǐng)求。

瀏覽器對(duì)這兩種請(qǐng)求的處理，是不一樣的。

* 簡(jiǎn)單請(qǐng)求和非簡(jiǎn)單請(qǐng)求的區(qū)別？

簡(jiǎn)單請(qǐng)求：一次請(qǐng)求

非簡(jiǎn)單請(qǐng)求：兩次請(qǐng)求，在發(fā)送數(shù)據(jù)之前會(huì)先發(fā)一次請(qǐng)求用于做“預(yù)檢”，只有“預(yù)檢”通過(guò)后才再發(fā)送一次請(qǐng)求用于數(shù)據(jù)傳輸。

* 關(guān)于“預(yù)檢”

- 請(qǐng)求方式：OPTIONS

- “預(yù)檢”其實(shí)做檢查，檢查如果通過(guò)則允許傳輸數(shù)據(jù)，檢查不通過(guò)則不再發(fā)送真正想要發(fā)送的消息

- 如何“預(yù)檢”

=> 如果復(fù)雜請(qǐng)求是PUT等請(qǐng)求，則服務(wù)端需要設(shè)置允許某請(qǐng)求，否則“預(yù)檢”不通過(guò)

Access-Control-Request-Method

=> 如果復(fù)雜請(qǐng)求設(shè)置了請(qǐng)求頭，則服務(wù)端需要設(shè)置允許某請(qǐng)求頭，否則“預(yù)檢”不通過(guò)

Access-Control-Request-Headers

支持跨域，簡(jiǎn)單請(qǐng)求

服務(wù)器設(shè)置響應(yīng)頭：Access-Control-Allow-Origin = ’域名’ 或 ’*’

支持跨域，復(fù)雜請(qǐng)求

由于復(fù)雜請(qǐng)求時(shí)，首先會(huì)發(fā)送“預(yù)檢”請(qǐng)求，如果“預(yù)檢”成功，則發(fā)送真實(shí)數(shù)據(jù)。

“預(yù)檢”請(qǐng)求時(shí)，允許請(qǐng)求方式則需服務(wù)器設(shè)置響應(yīng)頭：Access-Control-Request-Method “預(yù)檢”請(qǐng)求時(shí)，允許請(qǐng)求頭則需服務(wù)器設(shè)置響應(yīng)頭：Access-Control-Request-Headers

五 Django項(xiàng)目中支持CORS

在返回的結(jié)果中加入允許信息（簡(jiǎn)單請(qǐng)求）

def test(request): import json obj=HttpResponse(json.dumps({’name’:’lqz’})) # obj[’Access-Control-Allow-Origin’]=’*’ obj[’Access-Control-Allow-Origin’]=’http://127.0.0.1:8004’ return obj

放到中間件處理復(fù)雜和簡(jiǎn)單請(qǐng)求：

from django.utils.deprecation import MiddlewareMixinclass CorsMiddleWare(MiddlewareMixin): def process_response(self,request,response): if request.method=='OPTIONS': #不能加* response['Access-Control-Allow-Headers']='Content-Type' response['Access-Control-Allow-Origin'] = 'http://localhost:8080' return response

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持好吧啦網(wǎng)。