Django 跨域请求（Access-Control-Allow-Origin）

在本文中，我们将介绍如何使用 Django 来处理跨域请求，以及如何配置响应头中的 ‘Access-Control-Allow-Origin’。

什么是跨域请求？

在 Web 开发中，浏览器有一种同源策略（Same Origin Policy），即只允许当前网页从相同的源加载资源。源指的是协议、域名和端口号的组合。但有时我们需要从其他域名或端口号获取数据或发送请求，这就导致了跨域请求的问题。

Django 中处理跨域请求

Django 提供了一个名为 Django CORS (Cross-Origin Resource Sharing) 的第三方库，用于处理跨域请求。该库允许你在 Django 项目中配置响应头的 ‘Access-Control-Allow-Origin’。

安装 Django CORS

要使用 Django CORS，首先需要安装该库。可以使用 pip 命令来安装：

pip install django-cors-headers

配置 Django CORS

安装完库后，需要在 Django 项目的设置文件中进行配置。

首先，将 ‘corsheaders’ 添加到项目的 INSTALLED_APPS 列表中：

INSTALLED_APPS = [
    ...
    'corsheaders',
    ...
]

然后，在项目的 MIDDLEWARE 列表中，将 ‘corsheaders.middleware.CorsMiddleware’ 添加到合适的位置。一般推荐将其添加在 ‘django.middleware.security.SecurityMiddleware’ 之后：

MIDDLEWARE = [
    ...
    'django.middleware.security.SecurityMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    ...
]

接下来，在设置文件的最末尾添加以下配置：

CORS_ORIGIN_ALLOW_ALL = True

这将允许所有源的请求通过 ‘Access-Control-Allow-Origin’。

如果你只想允许特定的源，可以设置 ‘CORS_ORIGIN_WHITELIST’ 列表。例如，如果你只想允许来自 example.com 和 example.org 的请求：

CORS_ORIGIN_ALLOW_ALL = False

CORS_ORIGIN_WHITELIST = [
    'https://example.com',
    'https://example.org',
]

配置完毕后，记得重新启动 Django 项目以使配置生效。

示例说明

假设你有一个 Django 项目，其中有一个 API 视图函数用于处理数据。现在，我们将使用 Django CORS 让该 API 支持跨域请求。

首先，在视图函数上方使用 @cors_allow_all 关键字将该函数装饰为允许所有来源的跨域请求：

from corsheaders.decorators import cors_allow_all

@cors_allow_all
def my_api_view(request):
    # 处理数据的代码
    ...
    return JsonResponse(data)

以上代码将允许该视图函数处理来自不同源的请求。

如果你只想允许特定的源，可以使用 @cors_origin_whitelist 装饰器：

from corsheaders.decorators import cors_origin_whitelist

@cors_origin_whitelist(['https://example.com', 'https://example.org'])
def my_api_view(request):
    # 处理数据的代码
    ...
    return JsonResponse(data)

总结

通过使用 Django CORS，我们可以轻松地处理跨域请求，配置响应头中的 ‘Access-Control-Allow-Origin’。首先安装 Django CORS 库，并在项目的设置文件中进行相应的配置。然后，在具体的视图函数上使用相应的装饰器来指定允许的源。这样，我们就能够在 Django 项目中处理跨域请求，实现与其他域名或端口号之间的数据交互。