在 Web 页面中可以随意地载入跨域的图片、视频、样式等资源, 但 AJAX 请求通常会被浏览器应用同源安全策略,禁止获取跨域数据,以及限制发送跨域请求。 虽然有多种方法利用资源标签进行跨域,但能够进行的数据交互非常有限。 在 2014 年 W3C 发布了 CORS Recommendation 来允许更方便的跨域资源共享。 默认情况下浏览器对跨域请求不会携带 Cookie,但鉴于 Cookie 在身份验证等方面的重要性, CORS 推荐使用额外的响应头字段来允许跨域发送 Cookie
前端代码配置:
在open XMLHttpRequest后,设置withCredentials为true即可让该跨域请求携带 Cookie。 注意携带的是目标页面所在域的 Cookie。
var xhr=newXMLHttpRequest();
xhr.open('GET',url);
xhr.withCredentials=true;
xhr.send();
后端django配置:
1.安装django-cors-headers
pip install django-cors-headers
2.配置settings.py文件
a.添加应用
INSTALLED_APPS = [
'corsheaders',
]
b.添加中间件
MIDDLEWARE = [
'corsheaders.middleware.CorsMiddleware',
'django.middleware.common.CommonMiddleware',
]
c.其他配置
# 配置允许跨站访问本站的地址
CORS_ORIGIN_ALLOW_ALL = True
# CORS_ORIGIN_WHITELIST = (
# 'localhost:8000', # 请求的域名(此处仅在CORS_ORIGIN_ALLOW_ALL = False时有效)
# )
# 定义允许的匹配路径正则表达式
CORS_URLS_REGEX = '^.*$'
# 设置允许访问的方法
CORS_ALLOW_METHODS = (
'GET',
'POST',
'PUT',
'PATCH',
'DELETE',
'OPTIONS',
)
# 跨域允许证书
CORS_ALLOW_CREDENTIALS = True
# 设置允许的header
CORS_ALLOW_HEADERS = (
'Klicen-Agent',
'Content-Type',
'X-Requested-With',
'xyt-agent',
)
