带有Django和angularjs的CORS - javascript

我目前正在尝试使用Django作为后端使用AngularJS创建Web界面,并且出现了常见的CORS错误:XMLHttpRequest无法加载http://fatboyapi.ddns.net:8000/o/revoke_token/?client_id=xxx&client_secret=xxx&token=xxxxxxxx。所请求的资源上没有“ Access-Control-Allow-Origin”标头。因此,不允许访问源'http://fatboy.ddns.net:8000'。

当标志CORS_ORIGIN_ALLOW_ALL设置为True时,一切正常,但是显然不安全。我呼叫的终点是django-oauth-toolkit提供的o / token /

我将这些添加到了白名单的链接中。
'http://fatboyapi.ddns.net:8000',
'http://fatboy.ddns.net:8000'

当我在firefox或Postman上使用restclient并与CORS_ORIGIN_ALLOW_ALL = False结合使用时,我没有任何错误

我用来呼叫api的地址是“ http://fatboy.ddns.net:8000”

这是我在Django上使用的软件包

boto==2.38.0
contextlib2==0.4.0
Django==1.9
django-braces==1.8.1
django-cors-headers==1.1.0
django-custom-user==0.5
django-debug-toolbar==1.4
django-guardian==1.3.2
django-indexer==0.3.0
django-oauth-toolkit==0.9.0
django-paging==0.2.5
django-storages==1.1.8
django-templatetag-sugar==1.0
djangorestframework==3.3.1
docutils==0.12
eventlet==0.17.4
greenlet==0.4.9
lockfile==0.12.2
oauthlib==1.0.1
Pillow==2.9.0
psycopg2==2.6.1
six==1.10.0
sqlparse==0.1.18
wheel==0.24.0

这是我的settings.py

INSTALLED_APPS = (
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'corsheaders',
    'custom_user',
    'guardian',
    'rest_framework',
    'oauth2_provider',
    'scheduleauthentication',
    'punchclock',
    'debug_toolbar',
)

AUTH_USER_MODEL = 'custom_user.EmailUser'

ANONYMOUS_USER_ID = -1

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'guardian.backends.ObjectPermissionBackend',
)

MIDDLEWARE_CLASSES = (
    'debug_toolbar.middleware.DebugToolbarMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
)

ROOT_URLCONF = 'punchclock.urls'

CORS_ORIGIN_ALLOW_ALL = False

CORS_ORIGIN_WHITELIST = (
    'https://fatboyapi.ddns.net',
    'https://fatboy.ddns.net',
    'http://fatboyapi_i.ddns.net',
    'http://fatboy_i.ddns.net',
    'http://fatboyapi.ddns.net:8000',
    'http://fatboy.ddns.net:8000'
)

CORS_ALLOW_CREDENTIALS = False

CORS_ALLOW_METHODS = (
        'GET',
        'POST',
        'PUT',
        'PATCH',
        'DELETE',
        'OPTIONS'
    )

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': [],
        'APP_DIRS': True,
        'OPTIONS': {
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        },
    },
]

WSGI_APPLICATION = 'punchclock.wsgi.application'


# Database
# https://docs.djangoproject.com/en/1.8/ref/settings/#databases

DATABASES = {
    'default': {
        'NAME': 'pc',
        'ENGINE': 'django.db.backends.postgresql_psycopg2',
        'HOST': 'localhost',
        'USER': 'postgres',
        'PASSWORD': 'fatboy',
        'PORT': '5432',
    }

}
#REST-FRAMEWORK
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'oauth2_provider.ext.rest_framework.OAuth2Authentication',
    )
}

谢谢 !

参考方案

使用CORS标头可以限制允许哪些客户端发出请求以及允许哪些方法。

访问控制允许来源:http://siteA.com

访问控制允许方法:GET,POST,PUT

还有其他标题,谷歌它:)

或者,Angular是否在Apache或Node上运行?如果是这样,则可以将请求发送到相同的域,例如http://yourangulardomain.com/api/request/that/i/want/to/go/to/my/django/server

然后将重写规则放在您的Apache / Node配置中以重写请求。这将避免跨源问题。

使用npm模块connect-modrewrite(主要基于Apache重写规则)在Node(服务Angular)上使用的类似重写规则是...

middleware: [
      rewrite([
        '^/api/(.*)$ http://10.20.1.20:9100/$1 [P]',
        '^[^\\.]*$ /index.html [L]'
      ])
    ]

这基本上将URL中包含/ api的请求发送到差异服务器,但将其他所有路由都路由到index.html

不确定为什么这不会干扰对CSS文件等的请求!!

希望无论如何能帮助您:)

如果我得到url(''),我该如何使用另一个URL - javascript

我是新手,正在写这篇文章,但是如果源上没有图像,那么我只有空白。有人可以告诉我,如果我正在获取背景图像,如何获取/images/no-image.jpg:url();这是我的代码:<div class="uk-clearfix uk-position-relative"> <div class="recipeb…

django self,save()之后的成功函数为pk - javascript

我可能会倒退,但是我试图在成功函数中使用pk创建要加载的href。该pk将是新的,并已由save()创建我想知道的是如何将self.pk包发布到js来使用它。JavaScriptJS$.ajax({ type: "POST", url: "/api/add/res/", data: JSON.stringify(dat…

在Django视图中渲染URL变量 - javascript

我试图在URL中传递一个id,它是在js中创建的,我需要在渲染中传递它,以便可以在新页面的jQuery中使用它。这可能吗?JSresults ="'results/"+this.pk+"'"; 网址url(r'^personnel/results/(\d*)/$', '…

Javascript无法读取Django模板中字典的键和值 - javascript

我有一本像这样的字典:dest = {2: [u'canada', u'A', 'Ottawa'], 5: [u'Malaysia', u'A', 'KualaLumpur'],...} 然后,我尝试使用javascript从Django模…

Javascript IF语句 - javascript

                        嗨,我有这段代码可以正常工作,并将两个日历显示为一个日历。我还有一个php变量$login_session,其中包含登录电子邮件地址的用户。关于如何显示[email protected]日历的任何想法(伪代码)IF $login_session == "[email protected]&#…

推荐标签:, , , ,

腾讯的同事天天给我安利让我看《三体》,说马化腾和雷军也在…

腾讯的同事天天给我安利让我看《三体》,说马化腾和雷军也在看。自己强行看了两个月,全部给看完了。感觉这文笔也就我读初中的水平……而且写着国内的一些情况,外国人能理解吗?这书为什么会这么火?这水平我也可以去写呀[笑哭][笑哭][笑哭] 招商银行员工:可以写赶紧写一个啊,能拿科幻文学雨果奖。 包清白:哦 楼主:pei !tui !你也配姓龙 楼主:@赵龙王 呵呵 […]