在 Django 中解决跨域资源共享(CORS)问题,通常涉及到后端接受来自不同域的前端请求。为了安全起见,浏览器限制了脚本内跨域 HTTP 请求,这就需要后端明确允许某些类型的跨域请求。在 Django 项目中,这通常通过使用中间件来配置 CORS 头信息实现。
一个常用的方式是使用 django-cors-headers 包来简化这一过程。以下是配置步骤:
安装 django-cors-headers
在Django 项目环境中安装 django-cors-headers。你可以使用 pip 安装:
pip install django-cors-headers
将 CORS 中间件添加到项目设置
在你的 Django 项目的 settings.py 文件中,添加 corsheaders 到 INSTALLED_APPS 部分,确保 CorsMiddleware 能够加载:
INSTALLED_APPS = [
...
'corsheaders',
...
]
然后,确保 CorsMiddleware 被添加到 MIDDLEWARE 设置的顶部(至少在 CommonMiddleware 之前):
MIDDLEWARE = [
'corsheaders.middleware.CorsMiddleware',
'django.middleware.common.CommonMiddleware',
...
]
配置 CORS 策略
接下来,需要在 settings.py 文件中配置 CORS 策略。你可以开启对所有域的 CORS 请求(不推荐,仅作测试使用),或者指定允许的域。
- 允许所有域名
CORS_ALLOW_ALL_ORIGINS = True
- 允许指定域名
CORS_ALLOWED_ORIGINS = [
"http://localhost:8080",
"http://127.0.0.1:9000",
]
在CORS_ALLOWED_ORIGINS 列表中,你可以添加允许 CORS 请求的前端应用域名。
为特定的 API 视图开启 CORS
如果只想为特定的 API 或 Django 视图开启 CORS,可以使用装饰器 @cors_allowed_origin。这需要在视图函数上添加相应的装饰器并指定允许的源。
from corsheaders.decorators import cors_allowed_origin
@cors_allowed_origin(['http://localhost:3000'])
def my_view(request):
...
完成以上设置后,Django 后端应该就能够处理跨域请求了。这对于开发期间前后端分离的场景尤其有用,也是生产环境中实现前后端分离的必要步骤之一。请记得,开放跨域请求可能会带来安全风险,因此在生产环境中应谨慎配置允许的源。