堆栈内存溢出
  繁体   English   中英

Axios blocked by CORS policy with Django REST Framework: 'Access-Control-Allow-Origin' header in the response must not be wildcard

[英]Axios blocked by CORS policy with Django REST Framework: 'Access-Control-Allow-Origin' header in the response must not be wildcard

 原文  2022-08-02 02:57:59       python/ django/ axios/ vuejs3

问题描述

Using vuejs3 ans axios, I'm trying to make a API call out to a django project, and getting a CORS error on the chrome side. 不知道我在这里缺少什么设置...

在此处输入图像描述

返回的预检 OPTIONS 响应正常,但 chrome 对'Access-Control-Allow-Origin' header 为“*”感到不安。

我正在使用 django-rest-framework 和django-cors-headers

django.settings:

ALLOWED_HOSTS = ["*"]

# CORS
CORS_ALLOW_ALL_ORIGINS = False  # was initially True
CORS_ALLOW_HEADERS = "*"

CORS_ALLOW_CREDENTIALS = True
CORS_ALLOWED_ORIGINS = ["https://mydomain", "http://localhost:8080", "http://127.0.0.1:8080"]

# Application definition
INSTALLED_APPS = [
    "django.contrib.auth",
    "django.contrib.contenttypes",
    "django.contrib.sessions",
    "django.contrib.messages",
    "django.contrib.staticfiles",
    "corsheaders",
    ...
]

MIDDLEWARE = [
    "django.middleware.security.SecurityMiddleware",
    "django.contrib.sessions.middleware.SessionMiddleware",
    "django.middleware.locale.LocaleMiddleware",
    "corsheaders.middleware.CorsMiddleware",
    "django.middleware.common.CommonMiddleware",
    "django.middleware.csrf.CsrfViewMiddleware",
    ...
]

vuejs/axios 方面:

axios.defaults.xsrfHeaderName = 'X-CSRFToken';
axios.defaults.xsrfCookieName = 'csrftoken';
axios.defaults.withCredentials = true;
const url = `https://mydomin/my/endpoint/`;
response = axios.get(url);

我认为将CORS_ALLOW_ALL_ORIGINS设置为False并定义CORS_ALLOWED_ORIGINS值可以解决问题,但Access-Control-Allow-Origin header 仍显示为“*”。

我错过了一个设置吗?

这是选项 header 结果: 在此处输入图像描述

4 个解决方案

解决方案1
 1  2022-08-02 05:47:11

尝试 CORS_ALLOW_HEADERS 作为这样的列表

CORS_ALLOW_HEADERS = [
"accept",
"accept-encoding",
"authorization",
"content-type",
"dnt",
"origin",
"user-agent",
"x-csrftoken",
"x-requested-with",

]

解决方案2
 1  2022-08-02 05:58:12

CORS_ALLOW_HEADERS更改为此。 我试过了,工作了

CORS_ALLOW_HEADERS = [
    "accept",
    "accept-encoding",
    "authorization",
    "content-type",
    "content-disposition",
    "dnt",
    "origin",
    "user-agent",
    "x-csrftoken",
    "x-requested-with",
]

解决方案3
 1  2022-08-02 07:34:28

也许其他中间件阻止 CORS 中间件设置 header。 文档指出:

CorsMiddleware 应该放在尽可能高的位置,尤其是在任何可以生成响应的中间件之前,例如 Django 的 CommonMiddleware 或 Whitenoise 的 WhiteNoiseMiddleware。 如果不是之前,它将无法将 CORS 标头添加到这些响应中。

所以尝试改变中间件的顺序,比如:

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.security.SecurityMiddleware',
    ... 
]

解决方案4
 0  2022-08-02 04:57:19

您的 http 请求的标头中有什么? 如果它还没有的话,它可能有助于包含“”Access-Control-Allow-Origin”:“*”。

即使在 Django Rest Framework

[英]I'm getting 'No Access-Control-Allow-Origin header is present on the requested resource' even with all configured in Django Rest Framework

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 被 CORS 策略阻止:No"Access-Control-Allow-Origin" Using Flask Javascript XMLHttpRequest-已被CORS策略阻止:所请求的资源上不存在“ Access-Control-Allow-Origin”标头 CORS 策略已阻止来自原点“null”:请求的资源上不存在“Access-Control-Allow-Origin”header django & javascript fetch():CORS 政策:没有“访问控制允许来源”Z099FB995346F31C79E3ZF6 存在 CORS 政策阻止了获取“url”的访问:请求的资源上不存在“Access-Control-Allow-Origin”header。 ReactJS Django Python rest 框架,在 chrome 中请求的资源上没有 'Access-Control-Allow-Origin' header,在 firefox 中工作 由于没有 Access-Control-Allow-Origin 标头但标头存在而被 CORS 阻止的 HTTP 请求 Flask CORS - 重定向上没有Access-control-allow-origin标头() 即使在 Django Rest Framework django-cors-headers 不工作:请求的资源上不存在“Access-Control-Allow-Origin”header
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM