我目前正在尝试使用Django作为后端使用AngularJS创建Web界面,并且出现了常见的CORS错误:XMLHttpRequest无法加载http://fatboyapi.ddns.net:8000/o/revoke_token/?client_id=xxx&client_secret=xxx&token=xxxxxxxx。所请求的资源上没有“ Access-Control-Allow-Origin”标头。因此,不允许访问源'http://fatboy.ddns.net:8000'。
当标志CORS_ORIGIN_ALLOW_ALL设置为True时,一切正常,但是显然不安全。我呼叫的终点是django-oauth-toolkit提供的o / token /
我将这些添加到了白名单的链接中。
'http://fatboyapi.ddns.net:8000',
'http://fatboy.ddns.net:8000'
当我在firefox或Postman上使用restclient并与CORS_ORIGIN_ALLOW_ALL = False结合使用时,我没有任何错误
我用来呼叫api的地址是“ http://fatboy.ddns.net:8000”
这是我在Django上使用的软件包
boto==2.38.0
contextlib2==0.4.0
Django==1.9
django-braces==1.8.1
django-cors-headers==1.1.0
django-custom-user==0.5
django-debug-toolbar==1.4
django-guardian==1.3.2
django-indexer==0.3.0
django-oauth-toolkit==0.9.0
django-paging==0.2.5
django-storages==1.1.8
django-templatetag-sugar==1.0
djangorestframework==3.3.1
docutils==0.12
eventlet==0.17.4
greenlet==0.4.9
lockfile==0.12.2
oauthlib==1.0.1
Pillow==2.9.0
psycopg2==2.6.1
six==1.10.0
sqlparse==0.1.18
wheel==0.24.0
这是我的settings.py
INSTALLED_APPS = (
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'corsheaders',
'custom_user',
'guardian',
'rest_framework',
'oauth2_provider',
'scheduleauthentication',
'punchclock',
'debug_toolbar',
)
AUTH_USER_MODEL = 'custom_user.EmailUser'
ANONYMOUS_USER_ID = -1
AUTHENTICATION_BACKENDS = (
'django.contrib.auth.backends.ModelBackend',
'guardian.backends.ObjectPermissionBackend',
)
MIDDLEWARE_CLASSES = (
'debug_toolbar.middleware.DebugToolbarMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
'corsheaders.middleware.CorsMiddleware',
'django.middleware.common.CommonMiddleware',
)
ROOT_URLCONF = 'punchclock.urls'
CORS_ORIGIN_ALLOW_ALL = False
CORS_ORIGIN_WHITELIST = (
'https://fatboyapi.ddns.net',
'https://fatboy.ddns.net',
'http://fatboyapi_i.ddns.net',
'http://fatboy_i.ddns.net',
'http://fatboyapi.ddns.net:8000',
'http://fatboy.ddns.net:8000'
)
CORS_ALLOW_CREDENTIALS = False
CORS_ALLOW_METHODS = (
'GET',
'POST',
'PUT',
'PATCH',
'DELETE',
'OPTIONS'
)
TEMPLATES = [
{
'BACKEND': 'django.template.backends.django.DjangoTemplates',
'DIRS': [],
'APP_DIRS': True,
'OPTIONS': {
'context_processors': [
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
},
},
]
WSGI_APPLICATION = 'punchclock.wsgi.application'
# Database
# https://docs.djangoproject.com/en/1.8/ref/settings/#databases
DATABASES = {
'default': {
'NAME': 'pc',
'ENGINE': 'django.db.backends.postgresql_psycopg2',
'HOST': 'localhost',
'USER': 'postgres',
'PASSWORD': 'fatboy',
'PORT': '5432',
}
}
#REST-FRAMEWORK
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'oauth2_provider.ext.rest_framework.OAuth2Authentication',
)
}
谢谢 !
参考方案
使用CORS标头可以限制允许哪些客户端发出请求以及允许哪些方法。
访问控制允许来源:http://siteA.com
访问控制允许方法:GET,POST,PUT
还有其他标题,谷歌它:)
或者,Angular是否在Apache或Node上运行?如果是这样,则可以将请求发送到相同的域,例如http://yourangulardomain.com/api/request/that/i/want/to/go/to/my/django/server
然后将重写规则放在您的Apache / Node配置中以重写请求。这将避免跨源问题。
使用npm模块connect-modrewrite(主要基于Apache重写规则)在Node(服务Angular)上使用的类似重写规则是...
middleware: [
rewrite([
'^/api/(.*)$ http://10.20.1.20:9100/$1 [P]',
'^[^\\.]*$ /index.html [L]'
])
]
这基本上将URL中包含/ api的请求发送到差异服务器,但将其他所有路由都路由到index.html
不确定为什么这不会干扰对CSS文件等的请求!!
希望无论如何能帮助您:)
如果我得到url(''),我该如何使用另一个URL - javascript我是新手,正在写这篇文章,但是如果源上没有图像,那么我只有空白。有人可以告诉我,如果我正在获取背景图像,如何获取/images/no-image.jpg:url();这是我的代码:<div class="uk-clearfix uk-position-relative"> <div class="recipeb…
django self,save()之后的成功函数为pk - javascript我可能会倒退,但是我试图在成功函数中使用pk创建要加载的href。该pk将是新的,并已由save()创建我想知道的是如何将self.pk包发布到js来使用它。JavaScriptJS$.ajax({ type: "POST", url: "/api/add/res/", data: JSON.stringify(dat…
在Django视图中渲染URL变量 - javascript我试图在URL中传递一个id,它是在js中创建的,我需要在渲染中传递它,以便可以在新页面的jQuery中使用它。这可能吗?JSresults ="'results/"+this.pk+"'"; 网址url(r'^personnel/results/(\d*)/$', '…
Javascript无法读取Django模板中字典的键和值 - javascript我有一本像这样的字典:dest = {2: [u'canada', u'A', 'Ottawa'], 5: [u'Malaysia', u'A', 'KualaLumpur'],...} 然后,我尝试使用javascript从Django模…
Javascript IF语句 - javascript嗨,我有这段代码可以正常工作,并将两个日历显示为一个日历。我还有一个php变量$login_session,其中包含登录电子邮件地址的用户。关于如何显示[email protected]日历的任何想法(伪代码)IF $login_session == "[email protected]…