from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)

Cross-Origin Resource Sharing (CORS)：
Cross-Origin Resource Sharing跨域资源共享

需要Python 3.5 to 3.8版本，Django 1.11 to 3.0 版本：

下载django-cors-headers

python -m pip install django-cors-headers


将corsheaders添加进设置settings中的INSTALLED_APPS

INSTALLED_APPS = [
    ...
    'corsheaders',
    ...
]


添加中间件，监听响应，它的位置越高越好，特别是在任何可以生成响应的中间件之前，比如Django的CommonMiddleware。如果不是在此之前，它将无法将CORS标头添加到这些响应中。。

MIDDLEWARE = [ 
    ...
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    ...
]


添加白名单：设置settings中添加允许访问的hosts

需设置的参数有三个：
CORS_ORIGIN_WHITELIST=[]    # 默认列表是空；
CORS_ORIGIN_ALLOW_ALL=False			# 默认值为False；
CORS_ORIGIN_REGEX_WHITELIST==False		# 默认值为False。

方式一：设置允许所有的hosts访问
CORS_ORIGIN_ALLOW_ALL=TRUE

方式二：指定的hosts允许访问，添加格式：URI方案（协议：http或https等）+主机名（或者IP）+端口
# Example
CORS_ORIGIN_WHITELIST = [
    "https://example.com",
    "https://sub.example.com",
    "http://localhost:8080",
    "http://127.0.0.1:9000"
]

注意：当有大量的子域时，可以设置正则表达式进行匹配允许访问的hosts
# Example
CORS_ORIGIN_REGEX_WHITELIST = [
    r"^https://\w+\.example\.com$",
]


如果有其他的需求外，可以在添加optional选项进行补充（非必选设置）

（1）如：当指允许hosts中的某些接口进行访问时候
# 默认是匹配所有：r'^.*$'
CORS_URLS_REGEX= r'^/api/.*$'				

（2）如：当只允许指定的方法（‘GET’，‘POST’）进行访问的时候：
# 默认方法有：'DELETE','GET','OPTIONS','PATCH','POST','PUT'
CORS_ALLOW_METHODS = [		
    'GET',
    'POST'
]

如果默认的方法不满足，需要自定义方法，可以在自己的项目中用下面的代码编写
from corsheaders.defaults import default_methods

CORS_ALLOW_METHODS = list(default_methods) + [
    'POKE',
]

（3）如：可以自定义允许访问的HEADERS
# 默认的CORS_ALLOW_HEADERS类表如下：
CORS_ALLOW_HEADERS = [
    'accept',
    'accept-encoding',
    'authorization',
    'content-type',
    'dnt',
    'origin',
    'user-agent',
    'x-csrftoken',
    'x-requested-with',
]

也可以自己在项目中自定义，使用如下代码即可：
from corsheaders.defaults import default_headers

CORS_ALLOW_HEADERS = list(default_headers) + [
    'my-custom-header',
]

还有很多其他的设置，可以自行查阅文档：
github~django-cors-headers

跨域问题解决方案：CORS

Access to XMLHttpRequest at '*' from origin '*' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.



从源'本地路径'访问 '目标路径(请求链接)'文本传输请求已被CORS策略阻塞:对预置请求的响应未通过访问控制检查:请求的资源上不存在'Access- control - allow - origin '报头。

错误原因：

本地路径和目标路径不是同一个域名下引起的跨域问题，并且，就算两个域名是同一个一级域名不同二级域名的时候，例如 a.baidu.com  和 b.baidu.com 是属于不同域的，也是会出现这个问题

介绍

出于安全原因，浏览器限制从脚本内发起的跨源HTTP请求。 例如，XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源，除非响应报文包含了正确CORS响应头。

（注：这段描述不准确，并不一定是浏览器限制了发起跨站请求，也可能是跨站请求可以正常发起，但是返回结果被浏览器拦截了。）

CORS（跨源资源共享）是一个系统，由传输HTTP标头组成，用于确定浏览器是否阻止前端JavaScript代码访问跨源请求的响应

该同源安全政策禁止以资源跨域访问。但CORS使Web服务器能够表示他们希望选择允许跨资源访问其资源。

跨域资源共享(CORS) 是一种机制，它使用额外的 HTTP 头来告诉浏览器  让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时，资源会发起一个跨域 HTTP 请求。

比如，站点 http://domain-a.com 的某 HTML 页面通过 <img> 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表，图像和脚本等资源。



跨域资源共享（ CORS ）机制允许 Web 应用服务器进行跨域访问控制，从而使跨域数据传输得以安全进行。现代浏览器支持在 API 容器中（例如 XMLHttpRequest 或 Fetch ）使用 CORS，以降低跨域 HTTP 请求所带来的风险。

 

解决方案：

1、如果跨域请求发生在相同一级域名不同二级域名之间

例如：a.baidu.com  和 b.baidu.com

跨域直接在邀请求的接口页面中强制设置域为一级域     document.domain = "baidu.com";

2、设置接口允许ajax跨域访问

在服务器aspx页面头文件里加：

<meta http-equiv="Access-Control-Allow-Origin" content="*" />

在web.config文件中的 system.webServer 节点下 增加如下配置

<system.webServer>  
    <httpProtocol> 
        <customHeaders> 
            <add name="Access-Control-Allow-Methods" value="OPTIONS,POST,GET"/> 
            <add name="Access-Control-Allow-Headers" value="x-requested-with"/> 
            <add name="Access-Control-Allow-Origin" value="*" /> 
        </customHeaders> 
    </httpProtocol> 
</system.webServer>


网上说的解决方案都是Internet Explorer 8 、9使用 XDomainRequest 对象实现CORS。是不是有这么复杂？于是博主各种百度寻找解决方案。最后发现在调用处指定 jQuery.support.cors = true; 这一句就能解决IE8、9的问题了

这句话的意思就是指定浏览器支持跨域。IE9以上版本的浏览器、谷歌、火狐等都默认支持跨域，而IE8、9却默认不支持跨域，需要我们指定一下。

//例如
jQuery.support.cors = true;
var ApiUrl = "http://b.baidu.com";
$(function () {
    $.ajax({
        type: "get",
        url: ApiUrl + "api/Charging/GetAllChargingData",
        data: {},
        success: function (data, status) {
            if (status == "success") {
                alert("ok");
            }
        },
        error: function (e) {
            alert("error");
        },
        complete: function () {

        }
    });
});

注：我这里设置的*是任意的请求都可以访问，如果需要限制替换成自己的访问地址就可以了。

参考资料：

 HTTP访问控制（CORS）   https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

CORS（跨源资源共享）      https://developer.mozilla.org/en-US/docs/Glossary/CORS

 

 

你有困难我帮忙，我住隔壁我姓王。----------------- 你隔壁的老王宣。

1、前言

      最近在项目中，调用Eureka REST接口时，出现了CORS跨越问题（Cross-origin resource sharing），在此与大家进行分享，避免多走些弯路。

      项目前端（http://localhost:9000）通过Ajax方式调用Eureka REST 接口（http://localhost:8761/eureka/apps）时，却没有任何反应，则通过F12查看日志发现出现“Access-Control-Allow-Origin“类 异常，详细如下：

…… http://localhost:8761/eureka/apps. Origin http://localhost:9000 is not allowed by Access-Control-Allow-Origin……

通过google，发现是由于CORS跨越问题造成的，解决办法无非有两种方式：响应头添加参数和添加过滤器，下面就详细说说CORS跨越问题的起因与详细解决办法。

2、CORS

     CORS，常被大家称之为跨越问题，准确的叫法是跨域资源共享（CORS，Cross-origin resource sharing），是W3C标准，是一种机制，它使用额外的HTTP头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时，资源会发起一个跨域 HTTP 请求。

     http://localhost:9000请求http://localhost:8761/eureka/apps就是违背了上述原则，即：请求服务器不同端口的另一个资源，出于安全原因，浏览器限制发起的跨源HTTP请求，则会出现本文开头提到的现象及异常。

     例如，XMLHttpRequest和Fetch API遵循同源策略， 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源，除非使用CORS头。

      跨域资源共享（ CORS ）机制允许 Web 应用服务器进行跨域访问控制，从而使跨域数据传输得以安全进行。浏览器支持在 API 容器中（例如 XMLHttpRequest 或 Fetch ）使用 CORS，以降低跨域 HTTP 请求所带来的风险。

什么情况下存在跨域问题

本文提到的由 XMLHttpRequest 或 Fetch 发起的跨域 HTTP 请求。
	
Web 字体 (CSS 中通过 @font-face 使用跨域字体资源),，因此，网站就可以发布 TrueType 字体资源，并只允许已授权网站进行跨站调用。
	
WebGL 贴图。
	
使用 drawImage 将 Images/video 画面绘制到 canvas
	
样式表（使用 CSSOM）。
 

面对CORS的限制，将如何解决呢

     世间万物完事，有因必有果，有果必有因。当然CORS的限制，官方也是给出了解决办法的。

     CORS标准新增了一组 HTTP 头字段(Access-Control-Allow-Origin)，允许服务器声明哪些源通过浏览器有权限访问哪些资源。另外，规范要求，对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST请求），浏览器必须首先使用 OPTIONS 方法发起一个预检请求（preflight request），从而获知服务端是否允许该跨域请求。服务器确认允许之后，才发起实际的 HTTP 请求。在预检请求的返回中，服务器端也可以通知客户端，是否需要携带身份凭证（包括Cookies 和 HTTP 认证相关数据）。

      CORS请求失败会产生错误，但是为了安全，在JavaScript代码层面是无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。

如果有兴趣了解该机制剖析的可以参考https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

3、解决办法

      在查阅大量资源，并了解过CORS机制后，解决办法实质必定会围绕Access-Control-Allow-Origin头。





解决办法如下：

添加响应头

     在被请求资源中添加响应头信息"Access-Control-Allow-Origin：*

过滤器

    在本项目中添加如下过滤器：

/**
 * 解决跨域问题
 */
public class AccessControlAllowOriginFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Allow-Credentials", "true");

　　　　 chain.doFilter(req, response);
   } 

   public void init(FilterConfig filterConfig) {

   } 

   public void destroy() {

   } 

}


注解方式

      在Spring Boot中拥有大量的注解，针对跨域问题，也提供了对应的注解@CrossOrigin，使用方法如下：

import java.util.HashMap;

import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author xcbeyond
 */
@RestController
@RequestMapping(value = "/api", method = RequestMethod.POST)
public class DemoController {
        
    @CrossOrigin(origins = "*")
    @RequestMapping(value = "/get")
    public String get() {
        ……
    }
}

 个人比较推荐使用上述的三种方式之一，其他方式请自己百度、谷歌吧