20.FastAPI跨域资源共享

20.FastAPI跨域资源共享

跨域资源共享(CORS)是指浏览器中运行的前端拥有与后端通信的 JavaScript 代码,而后端处于与前端不同的源的情况。 源是协议(http,https)、域(myapp.com,localhost,localhost.tiangolo.com)以及端口(80、443、8080)的组合。 因此,http://localhost https://localhost http://localhost:8080 是不同的源。

在FastAPI中,使用CORSMiddleware来配置跨域。首先从 fastapi.middleware.cors 导入CORSMiddleware,然后创建一个源列表,最后将其作为中间件添加到FastAPI应用程序。

代码示例:

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware
​
app = FastAPI()
​
origins = [
    "http://localhost.zhqy.com",
    "https://localhost.zhqy.com",
    "http://localhost",
    "http://localhost:8080",
]
​
app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)
​
@app.get(path='/test')
async def test():
    hello = "Hello world."
    return hello

默认情况下,CORSMiddleware 实现所使用的默认参数较为保守,所以在实际开发中需要显式地启用特定的源、方法或者 headers,以便浏览器能够在跨域上下文中使用它们。

支持的参数:

  • allow_origins

    允许跨域请求的源列表。例如 ['Example Domain', 'Example Domain']。也可以使用 ['*'] 允许任何源。

  • allow_origin_regex

    正则表达式字符串,匹配的源允许跨域请求。例如 'https://.*.example.org'。

  • allow_methods

    允许跨域请求的 HTTP 方法列表。默认为 ['GET']。你可以使用 ['*'] 来允许所有标准方法。

  • allow_headers

    允许跨域请求的 HTTP 请求头列表。默认为 []。你可以使用 ['*'] 允许所有的请求头。Accept、Accept-Language、Content-Language 以及 Content-Type 请求头总是允许 CORS 请求。

  • allow_credentials

    指示跨域请求支持 cookies。默认是 False。当设置为允许凭证时 ,allow_origins 不能设定为 ['*'],必须指定源。

  • expose_headers

    指示可以被浏览器访问的响应头。默认为 []。

  • max_age

    设定浏览器缓存 CORS 响应的最长时间,单位是秒。默认为 600。

上一篇:sandbox:限制iframe的权限,解决安全性问题


下一篇:面试题 08.12. 八皇后