我的请求是跨源请求吗?(heroku 上的 Django rest api,CORS 没有阻止我的请求)

Posted

技术标签:

【中文标题】我的请求是跨源请求吗?(heroku 上的 Django rest api,CORS 没有阻止我的请求)【英文标题】:Is my request a cross origin request?(Django rest api on heroku with CORS not blocking my request) 【发布时间】:2016-05-06 06:20:30 【问题描述】:

我在 heroku 上托管了一个 django rest api,并在其中使用了 django-cors-headers。我在 CORS 白名单中添加了一些 URL,但发现该应用正在接受来自任何来源的请求(例如:-我的本地 PC)。我的问题是,为什么 heroku 没有阻止我的 http 请求,即使它没有被列入白名单。

注意:- 我没有运行任何前端应用程序

下面是我的 settings.py 的快照

INSTALLED_APPS = (
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'corsheaders',
    'rest_framework',
    'rest_framework.authtoken',

)

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.middleware.common.BrokenLinkEmailsMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
)

# REST FRAMEWORK

REST_FRAMEWORK = 
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # 'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.TokenAuthentication',
    ],
    # Use hyperlinked styles by default.
    # Only used if the `serializer_class` attribute is not set on a view.
    'DEFAULT_MODEL_SERIALIZER_CLASS':
        'rest_framework.serializers.HyperlinkedModelSerializer',

    # Use Django's standard `django.contrib.auth` permissions,
    # or allow read-only access for unauthenticated users.
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
    ],
    # Make the default renderer class JSON when in production to prevent users from using the browsable API
    'DEFAULT_RENDERER_CLASSES': [
         'rest_framework.renderers.JSONRenderer',
    ]



TEMPLATES = [
    
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': [os.path.join(BASE_DIR)],
        'APP_DIRS': True,
        'OPTIONS': 
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        ,
    ,
]



DATABASES = 'default': dj_database_url.config(default=os.environ["HEROKU_POSTGRESQL_RED_URL"])


# Internationalization
# https://docs.djangoproject.com/en/1.8/topics/i18n/

LANGUAGE_CODE = 'en-us'

TIME_ZONE = 'UTC'

USE_I18N = True

USE_L10N = True

USE_TZ = True


# Static files (CSS, javascript, Images)
# https://docs.djangoproject.com/en/1.8/howto/static-files/

STATIC_URL = '/static/'
STATIC_ROOT = os.path.join(BASE_DIR, 'staticfiles')
STATICFILES_STORAGE = 'whitenoise.django.GzipManifestStaticFilesStorage'

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
        #'localhost:9000',
        #'localhost:5000',
        #'127.0.0.1:9000',
        #'127.0.0.1:5000',
    )

CORS_ALLOW_METHODS = (
        'GET',
        'POST',
        'PUT',
        'PATCH',
        'DELETE',
        'OPTIONS'
)

CORS_ALLOW_HEADERS = (
        'Access-Control-Allow-Origin',
        'x-requested-with',
        'content-type',
        'accept',
        'origin',
        'authorization',
        'x-csrftoken'
)

我希望它能够像我在 settings.py 中使用 ALLOWED_HOSTS 时那样工作 ALLOWED_HOSTS = ['白名单网址']

如果我错过了这里的某些设置,请告诉我。

【问题讨论】:

【参考方案1】:

我认为 CORS_ALLOW_HEADERS 应该是这样的

CORS_ALLOW_HEADERS = (
        'x-requested-with',
        'content-type',
        'accept',
        'origin',
        'authorization',
        'x-csrftoken'
)

如果您使用任何缓存控制,您还应该添加缓存控制。

更新

如果您将应用托管在外部服务器上并尝试在本地访问它会发生什么?

答案:当您的本地计算机访问 Internet 时,它会保留从 ISP 分配的可用 IP。这意味着当外部服务器被您的机器击中时,它不会将其视为 127.0.0.1,但会将其视为此处显示的 https://www.whatismyip.com/。

解决方案:要允许来自本地计算机的 cors 来源,请执行以下操作之一,

    将 https://www.whatismyip.com/ 上显示的内容添加到 CORS_ORIGIN_WHITELIST。但这意味着每次重新启动本地路由器时都必须编辑 CORS_ORIGIN_WHITELIST。这是因为重新启动本地路由器后,ISP 会为您分配另一个 IP。

    仅出于测试目的,将“*”添加到 CORS_ORIGIN_WHITELIST。

    尝试让另一个 heroku 实例发出请求。

【讨论】:

好的,我已经编辑过了,但主要是你应该从 CORS_ALLOW_HEADERS 中删除 'Access-Control-Allow-Origin' 它不工作。不知道我错过了什么,但 django-cors 对我的应用程序没有任何影响。 确保您停止服务器并再次运行它,因为它有时会缓存设置。此外,您可以尝试删除 CORS_ORIGIN_WHITELIST 并仅使用 ALLOWED_HOSTS 使得 ALLOWED_HOSTS =['127.0.0.1:5000',..]。你能告诉我你现在遇到的错误是什么吗? 本地运行没有问题。该应用程序作为 rest api 托管在 heroku 上。那么,如果我从本地 PC 中点击 URL,这不是跨源请求吗? 有时,heroku 缓存。所以在进行任何更改后,重新启动服务器并重新加载 apache。确保 ALLOWED_HOSTS 也是空的。如果问题仍然存在,请发布您的新 settings.py、您的请求网址、您的回复以及预期内容。

以上是关于我的请求是跨源请求吗?(heroku 上的 Django rest api,CORS 没有阻止我的请求)的主要内容,如果未能解决你的问题,请参考以下文章

Elastic beanstalk 请求上的 Node.js 是 HTTPS,但 express 是作为 HTTP 服务的。这安全吗?

当发送的请求是 Ajax 请求时,如何从 ManagedBean 重定向?

当要发送的请求是多部分请求时,Spring CSRF 令牌不起作用

在 Heroku 上的 Django 应用程序中为 CORS 指定 URL

JMeter 一个线程组的多个请求,怎么设置指定

在 .NET Core 3.1 和 Entity Framework Core 中处理非常大的请求是一个好主意[关闭]