什么是同源策略?
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。注意:跨域请求被拒绝,其实是浏览器已经拿到了不同源服务器响应的数据,浏览器对非同源请求返回的结果做了拦截,而不是服务器拒绝浏览器的请求。
ajax跨域
<script> $("button").click(function(){ $.ajax({ url:"http://127.0.0.1:7766/order/", //假设网页的服务时http://127.0.0.1:8000,此时ajax去请求7766端口的服务 type:"POST", success:function(data){ alert(123); alert(data) } }) }) </script>
上面这种请求方式设计跨域请求,会报如下错误:
已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:7766/order/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。
解决办法下文会深入讨论。
什么是CORS?
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
CORS两种请求
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
只要同时满足以下两大条件,就属于简单请求。
(1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同时满足上面两个条件,就属于非简单请求。
浏览器对这两种请求的处理,是不一样的。
* 简单请求和非简单请求的区别? 简单请求:一次请求 非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
* 关于“预检” - 请求方式:OPTIONS - “预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息 - 如何“预检” => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过 Access-Control-Request-Method => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过 Access-Control-Request-Headers
支持跨域,简单请求
服务器设置响应头即可:Access-Control-Allow-Origin = '域名' 或 '*'
支持跨域,复杂请求
由于复杂请求时,首先会发送“预检”请求,如果“预检”成功,则发送真实数据。
- “预检”请求时,允许请求方式则需服务器设置响应头:Access-Control-Request-Method
- “预检”请求时,允许请求头则需服务器设置响应头:Access-Control-Request-Headers
复杂请求下,django的响应头设置,如下:
在设置了rest_framework情况下,必须要有的是options请求的方法
from django.shortcuts import render, HttpResponse from rest_framework.views import APIView import json class Order(APIView): def options(self, request, *args, **kwargs): response = HttpResponse("ok") response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址 response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式 response["Access-Control-Allow-Headers"] = "Content-Type" # 允许的headers return response
因为复杂请求都会请求多次,第一次一定是OPTIONS请求,也就是预检。如果预检通过就会携带数据进行再次请求,这时需要根据请求方式增加对应的处理方法。
比如,预检通过之后进行GET请求:
from django.shortcuts import render, HttpResponse from rest_framework.views import APIView import json class Order(APIView): def options(self, request, *args, **kwargs): response = HttpResponse("ok") response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址 response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式 response["Access-Control-Allow-Headers"] = "Content-Type" # 允许的headers return response def get(self, request, *args, **kwargs): response = HttpResponse("ok") response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址 response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式 response["Access-Control-Allow-Headers"] = "Content-Type" # 允许的headers return response
ajax自定义headers
<script> $("button").click(function(){ $.ajax({ url:"http://127.0.0.1:7766/order/", //假设网页的服务时http://127.0.0.1:8000,此时ajax去请求7766端口的服务 type:"POST",
headers: {k1: "v1"}, // 自定义headers,这里设置k1,服务端就要允许k1
contentType: "application/json" success:function(data){ alert(123); alert(data) } }) }) </script>
服务端django设置headers
from django.shortcuts import render, HttpResponse from rest_framework.views import APIView import json class Order(APIView): def options(self, request, *args, **kwargs): response = HttpResponse("ok") response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址 response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式 response["Access-Control-Allow-Headers"] = "Content-Type, k1" # 允许的headers,添加k1 return response def get(self, request, *args, **kwargs): response = HttpResponse("ok") response['Access-Control-Allow-Origin'] = '*' # 允许所有的域名地址 response["Access-Control-Allow-Methods"] = "GET,POST,OPTIONS,PATCH,PUT" # 允许的请求方式 response["Access-Control-Allow-Headers"] = "Content-Type, k1" # 允许的headers,添加k1 return response
axios跨域
import axios from 'axios' import { Message, MessageBox } from 'element-ui' import store from '../store' import { getToken } from '@/utils/auth' axios.defaults.baseURL= '/api' // 创建axios实例 const service = axios.create({ baseURL: process.env.BASE_API, // api的base_url, base_url="http://127.0.0.1:80001" timeout: 15000 // 请求超时时间 }) // request拦截器 service.interceptors.request.use(config => { if (store.getters.token) { config.headers['Authorization'] = getToken() // 让每个请求携带自定义token 请根据实际情况自行修改 } return config }, error => { // Do something with request error console.log(error) // for debug Promise.reject(error) }) // respone拦截器 service.interceptors.response.use( response => { /** * code为非200是抛错 可结合自己业务进行修改 */ const res = response.data if (res.code !== 200) { Message({ message: res.message, type: 'error', duration: 3 * 1000 }) // 401:未登录; if (res.code === 401) { MessageBox.confirm('你已被登出,可以取消继续留在该页面,或者重新登录', '确定登出', { confirmButtonText: '重新登录', cancelButtonText: '取消', type: 'warning' }).then(() => { store.dispatch('FedLogOut').then(() => { location.reload()// 为了重新实例化vue-router对象 避免bug }) }) } return Promise.reject('error') } else { return response.data } }, error => { console.log('err' + error)// for debug Message({ message: error.message, type: 'error', duration: 3 * 1000 }) return Promise.reject(error) } ) export default service
axios在前端服务器如果没有设置特殊全局headers,对应的后端服务器设置headers同上文。
结束!