Django CORS Headers: 解決前後端跨域問題的有效方法

一、什麼是CORS？

CORS（Cross-Origin Resource Sharing，跨源資源共享）是瀏覽器的一個安全功能，它允許不同源的web應用程序互相共享資源。所謂「跨源」，就是指在JavaScript發出的請求中，本站的域名與目標站點的域名不同。

CORS的核心問題是同源策略（Same-Origin Policy）。同源策略要求AJAX請求的發起方和響應結果的接收方必須來自同一個域名。比如，一個網頁站點只能夠訪問和它自己的域名或子域名下的資源文件，不能訪問其他域名或子域名下的資源文件。在實際項目中，經常遇到需要從不同域名或子域名下獲取數據的情況，這時候就需要CORS來解決跨域問題。

二、Django CORS Headers是什麼？

Django CORS Headers是一個Django應用程序，用於處理與跨域相關的HTTP頭。它實現了W3C規範中定義的CORS標準，提供了一個中間件可以插入到Django請求處理過程中，以允許在不同的域名和埠之間進行通信。

三、Django CORS Headers的安裝和使用

Step1：通過pip安裝Django CORS Headers


pip install django-cors-headers

Step2：將中間件插入到Django請求處理過程中的配置文件中


MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'corsheaders.middleware.CorsMiddleware', # 添加此行
]

此處將CorsMiddleware添加到最後，確保Django的所有中間件已經載入完畢，這樣才能讓CORS中間件能順利地工作。

Step3：配置Django CORS Headers


# 允許所有來源
CORS_ORIGIN_ALLOW_ALL = True

# 允許來自特定來源的請求
CORS_ORIGIN_WHITELIST = [
    "https://example.com",
    "https://www.example.com",
]

# 允許來自特定HTTP請求方法的請求
CORS_ALLOW_METHODS = [
    'DELETE',
    'GET',
    'OPTIONS',
    'PATCH',
    'POST',
    'PUT',
]

# 允許包含特定頭的HTTP請求
CORS_ALLOW_HEADERS = [
    'accept',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
]

以上配置是針對白名單的方式，如果能夠允許來自所有域名的請求，只需要將CORS_ORIGIN_ALLOW_ALL設置為True即可。此外，還可以根據需要配置一些CORS相關的選項，如允許的HTTP請求方法，允許的HTTP請求頭等。

四、Django CORS Headers的使用示例

下面是一個簡單的Django視圖函數，它處理來自不同域名下的POST請求，返回一個JSON響應。


from django.http import JsonResponse

from django.views.decorators.csrf import csrf_exempt
from django.utils.decorators import method_decorator

from corsheaders.decorators import cors_allow_all

@cors_allow_all
@csrf_exempt
def my_view(request):
    if request.method == 'POST':
        data = {"status": "success", "message": "POST request received."}
        return JsonResponse(data)
    else:
        data = {"status": "error", "message": "Invalid request method."}
        return JsonResponse(data, status=400)

這段代碼中，decorator用於定義CORS的相關策略，讓應用程序允許跨域請求。其中，@cors_allow_all是Django-CORS-headers提供的一個裝飾器，用於實現跨域請求處理。而@csrf_exempt是Django提供的一個裝飾器，用于禁用默認的跨站請求偽造（CSRF）中間件。

五、總結

Django CORS Headers是解決前後端跨域的常用解決方案之一，它提供了一種靈活的方法來控制跨域訪問，使得在不同域名和埠之間進行通信變得更加容易。通過簡單的配置和使用，我們可以方便地實現跨站點數據交換。希望本文對大家在實際項目中處理跨域問題提供一些幫助。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-tw/n/179914.html