Python Flask 跨站点 HTTP POST - 不适用于特定允许的来源
Posted
技术标签:
【中文标题】Python Flask 跨站点 HTTP POST - 不适用于特定允许的来源【英文标题】:Python Flask cross site HTTP POST - doesn't work for specific allowed origins 【发布时间】:2013-04-20 22:21:47 【问题描述】:我正在尝试让 Flask 正确处理跨站点脚本。我从这里获取了跨域装饰器 sn-p: http://flask.pocoo.org/snippets/56/
在下面的代码中,我放置了装饰器 sn-p 和基本的烧瓶服务器。
我使用 headers='Content-Type' 调用装饰器,否则我会收到“Access-Control-Allow-Headers 不允许请求标头字段 Content-Type”。在浏览器中。
所以这是我的问题: 照原样,下面的代码有效。但是当我想像这样限制到一个特定的服务器时:
@crossdomain(origin='myserver.com', headers='Content-Type')
我收到浏览器错误
“Access-Control-Allow-Origin 不允许Origin http://myserver.com。”
除了 origin='*' 之外,我无法让它工作。
有人有什么想法吗?
完整代码如下:
from datetime import timedelta
from flask import make_response, request, current_app, Flask, jsonify
from functools import update_wrapper
def crossdomain(origin=None, methods=None, headers=None,
max_age=21600, attach_to_all=True,
automatic_options=True):
if methods is not None:
methods = ', '.join(sorted(x.upper() for x in methods))
if headers is not None and not isinstance(headers, basestring):
headers = ', '.join(x.upper() for x in headers)
if not isinstance(origin, basestring):
origin = ', '.join(origin)
if isinstance(max_age, timedelta):
max_age = max_age.total_seconds()
def get_methods():
if methods is not None:
return methods
options_resp = current_app.make_default_options_response()
return options_resp.headers['allow']
def decorator(f):
def wrapped_function(*args, **kwargs):
if automatic_options and request.method == 'OPTIONS':
resp = current_app.make_default_options_response()
else:
resp = make_response(f(*args, **kwargs))
if not attach_to_all and request.method != 'OPTIONS':
return resp
h = resp.headers
h['Access-Control-Allow-Origin'] = origin
h['Access-Control-Allow-Methods'] = get_methods()
h['Access-Control-Max-Age'] = str(max_age)
if headers is not None:
h['Access-Control-Allow-Headers'] = headers
return resp
f.provide_automatic_options = False
return update_wrapper(wrapped_function, f)
return decorator
app = Flask(__name__)
@app.route('/my_service', methods=['POST', 'OPTIONS'])
@crossdomain(origin='*', headers='Content-Type')
def my_service():
return jsonify(foo='cross domain ftw')
if __name__ == '__main__':
app.run(host="0.0.0.0", port=8080, debug=True)
作为参考,我的 python 版本是 2.7.2 Flask 版本为 0.7.2
【问题讨论】:
【参考方案1】:我刚刚使用 python 2.7.3 版和 Flask 0.8 版尝试了相同的代码。
使用这些版本,它失败了
@crossdomain(origin='myserver.com', headers='Content-Type')
但它适用于
@crossdomain(origin='http://myserver.com', headers='Content-Type')
也许它不适用于 Flask 0.7.2? (尽管它在 sn-p 页面上说了什么)。
编辑: 在玩了更多(并升级到 Flask 0.9)之后,似乎真正的问题(或另一个问题)可能与列表中有多个允许的来源有关。换句话说,像这样使用上面的代码:
@crossdomain(origin=['http://myserver.com', 'http://myserver2.com'], headers='Content-Type')
不起作用。
为了解决这个问题,我调整了装饰器。请参阅此处的代码: http://chopapp.com/#351l7gc3
如果请求站点在列表中,则此代码仅返回请求站点的域。有点古怪,但至少对我来说,问题解决了:)
【讨论】:
它在那里,但由于某种原因需要一段时间才能加载。 重新编写您的代码:请注意 request.headers['Origin'] 可能为 None,并且 'in' 运算符不能将 None 作为左参数。否则,谢谢:-)【参考方案2】:Python 正在努力防止您将自己暴露于跨站点脚本攻击。
一种解决方法是让步,让您的请求到达运行烧瓶脚本的同一台服务器。从字符串中定义的遥远服务器获取 JSON 无论如何都是有风险的。
我可以通过让浏览器将自身保持在同一台服务器上来修复它,如下所示:
$('a#calculate').bind('click', function()
$.getJSON('/_add_numbers',
a: $('input[name="a"]').val(),
b: $('input[name="b"]').val()
, function(data)
$("#result").text(data.request);
);
return false;
);
注意getJSON 方法是如何传递/_add_numbers 的。这与浏览器通信以保持在同一主机上并查找该页面。然后浏览器很高兴并且安全,我们保持在同一个主机上,并且您永远不会收到错误:
Origin http://myserver.com is not allowed by Access-Control-Allow-Origin
【讨论】:
以上是关于Python Flask 跨站点 HTTP POST - 不适用于特定允许的来源的主要内容,如果未能解决你的问题,请参考以下文章