什么是同源策略?
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
注意:跨域请求被拒绝,其实是浏览器已经拿到了不同源服务器响应的数据,浏览器对非同源请求返回的结果做了拦截,而不是服务器拒绝浏览器的请求。
ajax跨域
<script>
$("button").click(function(){
$.ajax({
url:"http://127.0.0.1:7766/order/", //假设网页的服务时http://127.0.0.1:8000,此时ajax去请求7766端口的服务
type:"POST",
success:function(data){
alert(123);
alert(data)
}
})
})
</script>
上面这种请求方式设计跨域请求,会报如下错误:
已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:7766/order/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。
解决办法下文会深入讨论。
什么是CORS?
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
CORS两种请求
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
只要同时满足以下两大条件,就属于简单请求。
(1) 请求方法是以下三种方法之一:
HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同时满足上面两个条件,就属于非简单请求。
浏览器对这两种请求的处理,是不一样的。
* 简单请求和非简单请求的区别?
简单请求:一次请求
非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
* 关于“预检”
- 请求方式:OPTIONS
- “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息
- 如何“预检”
=> 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过
Access-Control-Request-Method
=> 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过
Access-Control-Request-Headers
支持跨域,简单请求
服务器设置响应头即可:Access-Control-Allow-Origin = '域名' 或 '*'
支持跨域,复杂请求
由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。
- “预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
- “预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers
复杂请求下,django的响应头设置,如下:
在设置了rest_framework情况下,必须要有的是options请求的方法
from django.shortcuts import render, HttpResponse
from rest_framework.views import APIView
import json
class Order(APIView):
def options(self, request, *args, **kwargs):
response = HttpResponse("ok")
response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址
response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式
response["Access-Control-Allow-Headers"] = "Content-Type" # 允许的headers
return
因为复杂请求都会请求多次,第一次一定是OPTIONS请求,也就是预检。如果预检通过就会携带数据进行再次请求,这时需要根据请求方式增加对应的处理方法。
比如,预检通过之后进行GET请求:
from django.shortcuts import render, HttpResponse
from rest_framework.views import APIView
import json
class Order(APIView):
def options(self, request, *args, **kwargs):
response = HttpResponse("ok")
response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址
response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式
response["Access-Control-Allow-Headers"] = "Content-Type" # 允许的headers
return response
def get(self, request, *args, **kwargs):
response = HttpResponse("ok")
response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址
response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式
response["Access-Control-Allow-Headers"] = "Content-Type" # 允许的headers
return
ajax自定义headers
<script>
$("button").click(function(){
$.ajax({
url:"http://127.0.0.1:7766/order/", //假设网页的服务时http://127.0.0.1:8000,此时ajax去请求7766端口的服务
type:"POST",
headers: {k1: "v1"}, // 自定义headers,这里设置k1,服务端就要允许k1
contentType: "application/json"123);
alert(data)
}
})
})
</script>
服务端django设置headers
from django.shortcuts import render, HttpResponse
from rest_framework.views import APIView
import json
class Order(APIView):
def options(self, request, *args, **kwargs):
response = HttpResponse("ok")
response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址
response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式
response["Access-Control-Allow-Headers"] = "Content-Type, k1",添加k1
return response
def get(self, request, *args, **kwargs):
response = HttpResponse("ok")
response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址
response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式
response["Access-Control-Allow-Headers"] = "Content-Type, k1",添加k1
return
axios跨域
import axios from 'axios'
import { Message, MessageBox } from 'element-ui'
import store from '../store'
import { getToken } from '@/utils/auth'
axios.defaults.baseURL= '/api'
// 创建axios实例
const service = axios.create({
baseURL: process.env.BASE_API, // api的base_url, base_url="http://127.0.0.1:80001"
timeout: 15000 // 请求超时时间
})
// request拦截器
service.interceptors.request.use(config => {
if (store.getters.token) {
config.headers['Authorization'] = getToken() // 让每个请求携带自定义token 请根据实际情况自行修改
}
return config
}, error => {
// Do something with request error
console.log(error) // for debug
Promise.reject(error)
})
// respone拦截器
service.interceptors.response.use(
response => {
/**
* code为非200是抛错 可结合自己业务进行修改
*/
const res = response.data
if (res.code !== 200) {
Message({
message: res.message,
type: 'error',
duration: 3 * 1000
})
// 401:未登录;
if (res.code === 401) {
MessageBox.confirm('你已被登出,可以取消继续留在该页面,或者重新登录', '确定登出', {
confirmButtonText: '重新登录',
cancelButtonText: '取消',
type: 'warning'
}).then(() => {
store.dispatch('FedLogOut').then(() => {
location.reload()// 为了重新实例化vue-router对象 避免bug
})
})
}
return Promise.reject('error')
} else {
return response.data
}
},
error => {
console.log('err' + error)// for debug
Message({
message: error.message,
type: 'error',
duration: 3 * 1000
})
return Promise.reject(error)
}
)
export default
axios在前端服务器如果没有设置特殊全局headers,对应的后端服务器设置headers同上文。
结束!
