一 同源策略

同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的，瀏覽器只是針對同源策略的一種實現

請求的url地址,必須與瀏覽器上的url地址處于同域上,也就是域名,端口,協議相同.

比如:我在本地上的域名是127.0.0.1:8000,請求另外一個域名：127.0.0.1:8001一段數據

瀏覽器上就會報錯，個就是同源策略的保護,如果瀏覽器對javascript沒有同源策略的保護,那么一些重要的機密網站將會很危險

已攔截跨源請求：同源策略禁止讀取位于 http://127.0.0.1:8001/SendAjax/ 的遠程資源。（原因：CORS 頭缺少 ’Access-Control-Allow-Origin’）

但是注意，項目2中的訪問已經發生了，說明是瀏覽器對非同源請求返回的結果做了攔截

二 CORS（跨域資源共享）簡介

CORS需要瀏覽器和服務器同時支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低于IE10。

整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。對于開發者來說，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感覺。

因此，實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口，就可以跨源通信。

三 CORS基本流程

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。 瀏覽器發出CORS簡單請求，只需要在頭信息之中增加一個Origin字段。 瀏覽器發出CORS非簡單請求，會在正式通信之前，增加一次HTTP查詢請求，稱為'預檢'請求（preflight）。瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

四 CORS兩種請求詳解

只要同時滿足以下兩大條件，就屬于簡單請求。

（1) 請求方法是以下三種方法之一：

HEAD GET POST

（2）HTTP的頭信息不超出以下幾種字段：

Accept Accept-Language Content-Language Last-Event-ID

Content-Type：只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

創建兩個Django項目：簡單請求：get、application/x-www-form-urlencoded

mysite1項目---------127.0.0.0:8008 (8008向8006端口發送簡單請求)

views.py

from django.shortcuts import render# Create your views here.def test(request): return render(request,’index.html’)

template/index.html

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <script src='https://rkxy.com.cn/static/jquery-3.3.1.js'></script> <title>Title</title></head><body><button id='mybutton'>點我</button></body><script> $('#mybutton').click(function () { $.ajax({ url:’http://127.0.0.1:8006/mytest’, #向該ip端口發送一個get的簡單請求 type:’get’, success:function (data) {console.log(data) } }) })</script></html>

mysite2項目---------127.0.0.0:8006

views.py

def mytest(request): import json print(’111’) obj = HttpResponse(json.dumps({’name’: ’lqz’})) # if request.method==’OPTIONS’: # obj[’Access-Control-Allow-Methods’]=’PUT’ # obj[’Access-Control-Allow-Headers’]=’k1’ # # # # obj[’Access-Control-Allow-Origin’]=’http://127.0.0.1:8008’ # obj[’Access-Control-Allow-Origin’]=’*’ return obj

就是由于同源策略被被瀏覽器阻止了，所以請求沒有成功返回數據(其實數據已經從服務器成功請求回來，只是由于同源策略請求成功的數據被瀏覽器阻止了)

凡是不同時滿足上面兩個條件，就屬于非簡單請求。

瀏覽器對這兩種請求的處理，是不一樣的。

* 簡單請求和非簡單請求的區別？

簡單請求：一次請求

非簡單請求：兩次請求，在發送數據之前會先發一次請求用于做“預檢”，只有“預檢”通過后才再發送一次請求用于數據傳輸。

* 關于“預檢”

- 請求方式：OPTIONS

- “預檢”其實做檢查，檢查如果通過則允許傳輸數據，檢查不通過則不再發送真正想要發送的消息

- 如何“預檢”

=> 如果復雜請求是PUT等請求，則服務端需要設置允許某請求，否則“預檢”不通過

Access-Control-Request-Method

=> 如果復雜請求設置了請求頭，則服務端需要設置允許某請求頭，否則“預檢”不通過

Access-Control-Request-Headers

支持跨域，簡單請求

服務器設置響應頭：Access-Control-Allow-Origin = ’域名’ 或 ’*’

支持跨域，復雜請求

由于復雜請求時，首先會發送“預檢”請求，如果“預檢”成功，則發送真實數據。

“預檢”請求時，允許請求方式則需服務器設置響應頭：Access-Control-Request-Method “預檢”請求時，允許請求頭則需服務器設置響應頭：Access-Control-Request-Headers

五 Django項目中支持CORS

在返回的結果中加入允許信息（簡單請求）

def test(request): import json obj=HttpResponse(json.dumps({’name’:’lqz’})) # obj[’Access-Control-Allow-Origin’]=’*’ obj[’Access-Control-Allow-Origin’]=’http://127.0.0.1:8004’ return obj

放到中間件處理復雜和簡單請求：

from django.utils.deprecation import MiddlewareMixinclass CorsMiddleWare(MiddlewareMixin): def process_response(self,request,response): if request.method=='OPTIONS': #不能加* response['Access-Control-Allow-Headers']='Content-Type' response['Access-Control-Allow-Origin'] = 'http://localhost:8080' return response

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持好吧啦網。