django-cors-headers 不允许来自允许来源的请求
问题描述 投票:0回答:5
我面临的问题是我无法从 NextJS 前端获取现有用户。我使用的后端框架是 Django(以及 django-cors-headers 包)。 django-cors-headers 不允许某个 HTTP 请求,但它应该允许。
我的 next.config.js 包含重写,以便我可以访问我的后端。
async redirects() {
return [
{
source: '/api/:path*',
destination: 'http://localhost:8000/:path*/',
permanent: true,
},
]
},
我的 django-cors-headers 设置如下所示:
# CORS
CSRF_TRUSTED_ORIGINS = [
'http://localhost:3000',
]
CORS_ALLOWED_ORIGINS = [
'http://localhost:3000',
'http://localhost:8000',
'http://127.0.0.1:3000',
'http://127.0.0.1:8000',
]
CORS_ALLOW_ALL_ORIGINS = True
失败的请求尝试获取 ID 为 1 的用户。该用户存在,因此该请求应该成功。
fetch(`/api/users/${String(userId)}/`, {
mode: 'cors',
credentials: 'include',
headers: {
'Content-Type': 'application/json',
},
})
但是,我从请求中得到的唯一结果是有关 CORS 的错误消息。
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:8000/users/1.
(Reason: CORS header ‘Access-Control-Allow-Origin’ missing).
Status code: 301.
看起来我的 django-cors-headers 设置是错误的。但我可以获取我的 JWT 令牌。以下请求成功。
fetch('/api/token', {
method: 'POST',
mode: 'cors',
headers: {
'Content-Type': 'application/json',
},
body: JSON.stringify({
email: mail,
password,
}),
})
5个回答
6
投票
投票
除了仔细检查中间件的加载顺序之外,我几乎尝试了所有方法...我通过以下加载顺序解决了我的问题
MIDDLEWARE = [
# Default
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
# CORS
'corsheaders.middleware.CorsMiddleware',
]
...到
MIDDLEWARE = [
# CORS
'corsheaders.middleware.CorsMiddleware',
# Default
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
我知道这必须是简单的事情,但现在我只是觉得自己像个大白痴......
3
投票
投票
我也有同样的问题。我尝试在 React 应用程序中调用 Django API,这个错误困扰了我几天,但我找到了解决方案。
- 首先检查网络上所有建议的解决方案,例如:在 Django 中安装 corsheaders 并将其添加到安装应用程序中,以及在setting.py 中的 MIDDLEWARE 中。 所以下一步: 在任何浏览器中打开网络选项卡,我们必须检查两个重要的标头。在请求期间。
- 请求标头中的 Access-Control-Request-Headers。
- 响应标头中的 Access-Control-Allow-Headers。
- 如图所示,请求头中的Access-Control-Request-Headers是content-type,但是响应中的Access-Control-Allow-Headers是http://localhost:3000,content-type。所以这就是问题所在。
- 要解决该问题,请转到后端的 settings.py 检查 CORS_ALLOW_HEADERS 并删除除“content-type”之外的所有内容。 所以再检查一下。 我的bug消失了。
2
投票
投票
对于 CORS,我们有一些需要考虑的事情。您可以在这里找到更多信息:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers,转到访问控制链接。
您在上面的配置中已设置:
- CORS_ALLOWED_ORIGINS:http://localhost:8000,...
- CORS_ALLOW_METHODS:“DELETE”、“GET”、“OPTIONS”、“PATCH”、“POST”、“PUT”(默认)
- CORS_ALLOW_CREDENTIALS:False(默认)
- CORS_ALLOW_HEADERS = [ “接受”, “接受编码”, “授权”, “内容类型”, “不”, “起源”, “用户代理”, “x-csrftoken”, “x-请求-with”, ](默认)
因此,如果您的应用程序使用凭据,请将 CORS_ALLOW_CREDENTIALS 更改为 True。如果仍然无法正常工作,请检查您的请求标头,确保其中没有特殊标头,如果您的请求中确实有特殊标头,则最好位于 CORS_ALLOW_HEADERS 内。
0
投票
投票
这是 django cors headers 的设置。在
settings.pyINSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
# add this
'corsheaders',
]
MIDDLEWARE = [
# add this
'corsheaders.middleware.CorsMiddleware',
'whitenoise.middleware.WhiteNoiseMiddleware',
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
# set this
CORS_ALLOW_ALL_ORIGINS=True
Status code: 3010
投票
投票
我也面临同样的问题。我认为 django-cors-headers 仅适用于 DRF。
最新问题
- Spring boot项目中故障转移oracle配置
- 防止多行原始字符串中出现换行符
- 通过引用传递而不修改值cpp
- 优化大型 CSV 文件(5M+ 行)的 Python 批处理以减少处理时间 [已关闭]
- 如何使用字符串中的特殊字符正确转换为数组
- 尝试在 .NET Core 项目中调用/执行存储过程时遇到 Microsoft.Data.SqlClient.SqlException
- Swift - 检查属性文本是否为空
- 如何在 Git 中保留目录结构并仅保留 .htaccess 文件,而忽略其他所有内容?
- Xcode 项目文件被锁定以进行编辑,即使具有文件夹共享和权限设置
- 在 Laravel 项目中上传视频
- 嵌入 cloudflare 见解,包括使用 javascript 发送数据
- 为什么 numpy.array 在编辑里面的数据时这么慢?
- 基本模板引擎找不到CSS文件[重复]
- 如何简化又长又冗余的 jquery 代码?
- React Material UI VITE - 主题问题 - createTheme_default 不是函数
- 在 DataGrip 中自动将内容大写
- 将 i128 转换为 f64 的正确方法是什么
- JQuery 整理代码
- 自动将 datagrip 中的内容大写
- laravel + Intertia Vue 如何获取查询参数值?
© www.soinside.com 2019 - 2024. All rights reserved.