中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

再遇CORS -- 自定義HTTP header的導致跨域

發布時間:2020-06-23 01:09:05 來源:網絡 閱讀:440 作者:wx5b3c8b549a762 欄目:開發技術

指路牌

  • 后端配置好了跨域,但是前端在HTTP header添加token后,又產生跨域的問題
  • Flask、Vue(Axios)、跨域

適用場景

  • 前后端分離,想要使用token來管理登錄狀態,或調用后臺接口

環境

  • 平臺無關

參考博客

  • axios 在header中配置token信息后,向后端請求會報跨域的問題。但是用postman測試的時候沒有什么問題。

    這個問題的回答其實沒有給出直接性的幫助,甚至回答的有點奇怪,但是幫我打開了思路。

背景

出于多種考慮,放棄了使用類似WordPress這種現成博客解決方案,準備自己搭建一個博客系統,技術選型為:后端:Flask,前端:Vue。登錄狀態管理放棄cookie,采用token。開發進行到路由保護處時出現了CORS的問題,具體情形是Vue將從后臺獲取的token添加到HTTP請求的header中,調用相應接口時出現跨域。

在此次跨域出現前實際上已經在Flask通過flask_cors配置了跨域解決方案,因此跨域的產生是讓我十分不解的,又由于問題比較奇特在搜索引擎中沒有找到很好的解決方案(也可能是我不知道怎么描述,沒有搜出來),因此自己重新研究可以一下跨域,又有了一些新收獲。

分析

相信使用前后端分離的開發者在開發之初就會碰到跨域的問題,跨域的解決方案有很多種,我選擇通過后臺解決。

跨域是瀏覽器同源策略導致的問題,網上相關文章很多,此處不贅述。備注一點:postman不會產生跨域。

Flask解決跨域的方案非常簡單,以下代碼即可完成。

from flask_cors import CORS
CORS(app,supports_credentials=True

@app.after_request
def after_request(resp):
    resp = make_response(resp)
    resp.headers['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8080'
    resp.headers['Access-Control-Allow-Methods'] = 'GET,POST'
    resp.headers['Access-Control-Allow-Headers'] = 'x-requested-with,content-type'
    return resp

配置完成后,一直也沒有沒有出過問題,因此也就沒有去進一步了解其配置的含義,直到這一次被卡住,讓我不得不去了解一下跨域我究竟配置了什么東西?

其實這個問題的關鍵點就在于那三條配置:Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers.
他們到底代表什么含義?

首先Access-Control-Allow-Origin,字面上的意思,配置這個可以允許相應的源來訪問后臺資源,網上大多在此處的寫的是*,也即允許所有源,這樣很不安全,由于我此處是本地開發階段,Vue的啟動端口是8080,所以我寫的是http://127.0.0.1:8080,根據你的開發需要改成自己需要的三元組即可。

其次Access-Control-Allow-Methods,也是字面上的意思,允許用的HTTP的Method有哪些,GET,POST是最常見的,此處只寫了兩個,如果你需要使用其他Method,在這里要寫進來,否則也會會出現跨域問題。

以上兩個配置都沒有問題,問題在了最后一部分:

Access-Control-Allow-Headers,和上面兩個一樣,字面的意思,之所以是她出問題了,是因為我們在前端給HTTP請求添加了一個自定義的字段token,而這不在許可范圍內(許可的只有x-requested-withcontent-type ),因此被判定為了不符合同源策略的非法請求,所以我們只需要將自定義的header添加進去即可。答案已經出來了。

繼續挖一下,這個字段的兩個含義分別還是什么?x-requested-with,content-type.

x-requested-with是一個用來判斷客戶端請求是否由Ajax發起的,所以和Axios有什么關系?答案是:沒有關系...可以直接刪了。貼上這段代碼的人或者是默認了發起請求使用的是Ajax,又或者沒有分析字段含義,所以很直接貼了這段代碼,但是對于使用Axios的開發者來說,這個字段不是必然的。

content-type: 指明POST請求的數據格式以及編碼方式。數據格式最常見的莫過于josn,其形式如下:application/json在后端打印出POST請求的HTTP Header,就會發現有下面這條和數據。

Content-Type: application/json;charset=UTF-8

解決方案

Access-Control-Allow-Headers中添加上自定義的header名稱,整體如下:

from flask_cors import CORS
CORS(app,supports_credentials=True

@app.after_request
def after_request(resp):
    resp = make_response(resp)
    resp.headers['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8080'
    resp.headers['Access-Control-Allow-Methods'] = 'GET,POST'
    resp.headers['Access-Control-Allow-Headers'] = 'content-type,token'
    return resp

其實直接刪掉Access-Control-Allow-Headers這條配置,也能解決問題,但是枚舉出所有固定情形當然是更安全的。

####
要獲取更多Haytham原創文章,請關注公眾號"許聚龍":
再遇CORS -- 自定義HTTP header的導致跨域

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

泽州县| 抚顺县| 柳河县| 辽阳市| 广南县| 紫阳县| 客服| 翁牛特旗| 和龙市| 万载县| 威海市| 那坡县| 湘潭市| 车险| 临沂市| 阿拉善右旗| 泸州市| 山东| 克什克腾旗| 金堂县| 华宁县| 丰原市| 青田县| 庆云县| 砚山县| 广安市| 重庆市| 泾阳县| 思南县| 万州区| 华容县| 上犹县| 朝阳县| 历史| 巫溪县| 乐安县| 孙吴县| 石河子市| 昌宁县| 德清县| 湘西|