[英]CORS with django and angularjs
我目前正在尝试使用Django作为后端使用AngularJS创建Web界面,并且出现通常的CORS错误:XMLHttpRequest无法加载http://fatboyapi.ddns.net:8000/o/revoke_token/?client_id=xxx&client_secret=xxx&token = xxxxxxxx 。 所请求的资源上没有“ Access-Control-Allow-Origin”标头。 因此,不允许访问来源' http://fatboy.ddns.net:8000 '。
当标志CORS_ORIGIN_ALLOW_ALL设置为True时,一切正常,但是显然不安全。 我要呼叫的终点是django-oauth-toolkit提供的o / token /
我将这些添加到了白名单的链接中。 ' http://fatboyapi.ddns.net:8000 ', ' http://fatboy.ddns.net:8000 '
当我在firefox或Postman上使用restclient并与CORS_ORIGIN_ALLOW_ALL = False结合使用时,我没有任何错误
我用来呼叫我的api的地址是' http://fatboy.ddns.net:8000 '
这是我与Django一起使用的软件包
boto==2.38.0
contextlib2==0.4.0
Django==1.9
django-braces==1.8.1
django-cors-headers==1.1.0
django-custom-user==0.5
django-debug-toolbar==1.4
django-guardian==1.3.2
django-indexer==0.3.0
django-oauth-toolkit==0.9.0
django-paging==0.2.5
django-storages==1.1.8
django-templatetag-sugar==1.0
djangorestframework==3.3.1
docutils==0.12
eventlet==0.17.4
greenlet==0.4.9
lockfile==0.12.2
oauthlib==1.0.1
Pillow==2.9.0
psycopg2==2.6.1
six==1.10.0
sqlparse==0.1.18
wheel==0.24.0
这是我的settings.py
INSTALLED_APPS = (
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'corsheaders',
'custom_user',
'guardian',
'rest_framework',
'oauth2_provider',
'scheduleauthentication',
'punchclock',
'debug_toolbar',
)
AUTH_USER_MODEL = 'custom_user.EmailUser'
ANONYMOUS_USER_ID = -1
AUTHENTICATION_BACKENDS = (
'django.contrib.auth.backends.ModelBackend',
'guardian.backends.ObjectPermissionBackend',
)
MIDDLEWARE_CLASSES = (
'debug_toolbar.middleware.DebugToolbarMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
'corsheaders.middleware.CorsMiddleware',
'django.middleware.common.CommonMiddleware',
)
ROOT_URLCONF = 'punchclock.urls'
CORS_ORIGIN_ALLOW_ALL = False
CORS_ORIGIN_WHITELIST = (
'https://fatboyapi.ddns.net',
'https://fatboy.ddns.net',
'http://fatboyapi_i.ddns.net',
'http://fatboy_i.ddns.net',
'http://fatboyapi.ddns.net:8000',
'http://fatboy.ddns.net:8000'
)
CORS_ALLOW_CREDENTIALS = False
CORS_ALLOW_METHODS = (
'GET',
'POST',
'PUT',
'PATCH',
'DELETE',
'OPTIONS'
)
TEMPLATES = [
{
'BACKEND': 'django.template.backends.django.DjangoTemplates',
'DIRS': [],
'APP_DIRS': True,
'OPTIONS': {
'context_processors': [
'django.template.context_processors.debug',
'django.template.context_processors.request',
'django.contrib.auth.context_processors.auth',
'django.contrib.messages.context_processors.messages',
],
},
},
]
WSGI_APPLICATION = 'punchclock.wsgi.application'
# Database
# https://docs.djangoproject.com/en/1.8/ref/settings/#databases
DATABASES = {
'default': {
'NAME': 'pc',
'ENGINE': 'django.db.backends.postgresql_psycopg2',
'HOST': 'localhost',
'USER': 'postgres',
'PASSWORD': 'fatboy',
'PORT': '5432',
}
}
#REST-FRAMEWORK
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'oauth2_provider.ext.rest_framework.OAuth2Authentication',
)
}
谢谢 !
使用CORS标头可以限制允许哪些客户端发出请求以及允许哪些方法。
访问控制允许来源: http : //siteA.com
访问控制允许方法:GET,POST,PUT
还有其他标题,谷歌它:)
或者,Angular是否在Apache或Node上运行? 如果是这样,那么您可以向同一域发出请求,例如http://yourangulardomain.com/api/request/that/i/want/to/go/to/my/django/server
然后将重写规则放在您的Apache / Node配置中以重写请求。 这将避免跨源问题。
使用npm模块connect-modrewrite(主要基于Apache重写规则)在Node(服务Angular)上使用的类似重写规则是...
middleware: [
rewrite([
'^/api/(.*)$ http://10.20.1.20:9100/$1 [P]',
'^[^\\.]*$ /index.html [L]'
])
]
这基本上将URL中包含/ api的请求发送到差异服务器,但将其他所有路由都路由到index.html
不确定为什么这不会干扰对CSS文件等的请求!!
希望无论如何能帮助您:)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.