超级会员免费看
跨域资源共享、认证授权及Python项目打包运行指南
跨域资源共享(CORS)
允许客户端 JavaScript AJAX 进行跨域请求存在潜在安全风险。若客户端页面执行的 JS 代码尝试调用非本域的其他域名,可能会运行恶意 JS 代码,损害用户利益。因此,市场上所有浏览器在进行异步调用时都遵循同源策略,确保请求在同一域名下进行。
除了安全方面的考虑,同源策略还能防止他人利用你的带宽来运行他们的 Web 应用。例如,你在网站上提供了一些字体文件,可能不希望其他网站在其页面上使用这些文件,从而无节制地消耗你的带宽。
不过,在某些合法场景下,你可能希望将资源共享给其他域名。这时可以在服务端设置规则,允许其他域名访问你的资源,这就是跨域资源共享(CORS)的作用。当浏览器向你的服务发送 AJAX 请求时,会添加一个 Origin 头部,你可以检查该头部是否在授权域名列表中。如果不在,CORS 协议要求你返回包含允许域名的头部信息。
此外,还有一个预检机制,浏览器会通过 OPTIONS 请求来询问该请求是否被授权。在客户端,你无需担心设置这些机制,浏览器会根据你的请求自动做出决策。但在服务端,你需要确保端点能够响应 OPTIONS 请求,并决定哪些域名可以访问你的资源。如果你的服务是公开的,可以使用通配符授权所有域名;但对于基于微服务的应用,且你能控制客户端,应该限制允许的域名。
在 Flask 中,可以使用 Flakon 的 crossdomain() 装饰器为 API 端点添加 CORS 支持。以下是一个示例:
from flask 
订阅专栏 解锁全文
扫一扫
12
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
