Django框架11 /同源、跨域
1.同源
1.同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现.
2.同源是指,域名,协议,端口相同
3.如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
2.CORS
1.实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
2.浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
2.1 简单请求
(1)请求方法是以下三种方法之一:(也就是说如果你的请求方法是什么put、delete等肯定是非简单请求)
HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:(如果比这些请求头多,那么一定是非简单请求)
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain,也就是说,如果你发送的application/json格式的数据,那么肯定是非简单请求,vue的axios默认的请求体信息格式是json的,ajax默认是urlencoded的。
2.2 非简单请求
凡是不同时满足上面两个条件,就属于非简单请求。
示例
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h2>s1的首页</h2>
<button id="btn">Ajax请求</button>
<script src="https://cdn.bootcss.com/jquery/3.4.0/jquery.js"></script>
<script>
$('#btn').click(function () {
$.ajax({
url:'http://127.0.0.1:8001/books/',
// 注意:http://127.0.0.1:8001后面如果有/的话,就限制只能是http://127.0.0.1:8001/路径才能访问
type:'post',
contentType:'application/json',//非简单请求,会报错:Request header field content-type is not allowed by Access-Control-Allow-Headers in preflight response.
data:JSON.stringify({
a:'1'
}),
//headers:{b:2},
success:function (response) {
console.log(response);
}
})
})
</script>
</body>
</html>
2.3 两种请求的处理
* 简单请求和非简单请求的区别?
简单请求:一次请求
非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
* 关于“预检”
- 请求方式:OPTIONS
- “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息
- 如何“预检”
=> 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过
Access-Control-Request-Method
=> 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过
Access-Control-Request-Headers
3.总结 --- 支持跨域,简单/复杂请求
1.支持跨域,简单请求
服务器设置响应头:Access-Control-Allow-Origin = '域名' 或 '*'
2.支持跨域,复杂请求
由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。
“预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
“预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers
练习代码
pro01 --- index.html
{% load static %}
<!DOCTYPE html>
<html lang="zh-CN">
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>title</title>
<link href="{% static 'bootstrap-3.3.7-dist/css/bootstrap.min.css' %}" rel="stylesheet">
<link rel="stylesheet" href="{% static 'sw/sweetalert.css' %}">
</head>
<h1>测试页面</h1>
<ul>
<li>入口1</li>
<li>入口2</li>
<li>入口3</li>
</ul>
<button class="btn">确定</button>
<body>
</body>
<script src="{% static 'jQuery.js' %}"></script>
<script src="{% static 'bootstrap-3.3.7-dist/js/bootstrap.min.js' %}"></script>
<script>
$('.btn').click(function(){
$.ajax({
url:'http://127.0.0.1:8002/index/',
type:'get',
contentType:'application/json',
data:JSON.stringify({'name':'liu'}),
success:function(res){
console.log(res)
}
})
})
</script>
</html>
pro02 --- views.py
from django.shortcuts import render,HttpResponse
def index(request):
ret = HttpResponse('8002 OK')
ret['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8001'
ret['Access-Control-Allow-Methods'] = 'PUT'
ret['Access-Control-Allow-Headers'] = 'content-type,application/json'
return ret