Python Flask跨站点HTTP POST - 不适用于特定的允许来源

时间:2013-04-26 16:59:06

标签: python flask cross-site

我正在尝试让Flask正确处理跨站点脚本。我从这里采取了crossdomain decorator片段: http://flask.pocoo.org/snippets/56/

在下面的代码中,我将装饰器片段和基本的烧瓶服务器放在一起。

我正在使用 headers ='Content-Type'调用装饰器,因为否则我得到“请求标头字段Access-Control-Allow-Headers不允许Content-Type”。在浏览器中。

所以这是我的问题: 原样,下面的代码有效。但是,当我想限制只有这样的特定服务器时:

@crossdomain(origin='myserver.com', headers='Content-Type')

我收到浏览器错误

Access-Control-Allow-Origin不允许“原始http://myserver.com。”

除了origin ='*'之外,我无法使其工作。

有人有什么想法吗?

以下是完整的代码:

from datetime import timedelta
from flask import make_response, request, current_app, Flask, jsonify
from functools import update_wrapper

def crossdomain(origin=None, methods=None, headers=None,
            max_age=21600, attach_to_all=True,
            automatic_options=True):
    if methods is not None:
        methods = ', '.join(sorted(x.upper() for x in methods))
    if headers is not None and not isinstance(headers, basestring):
        headers = ', '.join(x.upper() for x in headers)
    if not isinstance(origin, basestring):
        origin = ', '.join(origin)
    if isinstance(max_age, timedelta):
        max_age = max_age.total_seconds()

    def get_methods():
        if methods is not None:
            return methods

        options_resp = current_app.make_default_options_response()
        return options_resp.headers['allow']

    def decorator(f):
        def wrapped_function(*args, **kwargs):
            if automatic_options and request.method == 'OPTIONS':
            resp = current_app.make_default_options_response()
            else:
                resp = make_response(f(*args, **kwargs))
            if not attach_to_all and request.method != 'OPTIONS':
                return resp

            h = resp.headers

            h['Access-Control-Allow-Origin'] = origin
            h['Access-Control-Allow-Methods'] = get_methods()
            h['Access-Control-Max-Age'] = str(max_age)
            if headers is not None:
                h['Access-Control-Allow-Headers'] = headers
            return resp

        f.provide_automatic_options = False
        return update_wrapper(wrapped_function, f)
    return decorator

app = Flask(__name__)

@app.route('/my_service', methods=['POST', 'OPTIONS'])
@crossdomain(origin='*', headers='Content-Type')
def my_service():
    return jsonify(foo='cross domain ftw')

if __name__ == '__main__':
    app.run(host="0.0.0.0", port=8080, debug=True)

作为参考,我的python版本是2.7.2 Flask版本为0.7.2

2 个答案:

答案 0 :(得分:2)

我刚尝试使用python版本2.7.3和Flask版本0.8的相同代码。

使用这些版本时,

失败 
@crossdomain(origin='myserver.com', headers='Content-Type')

但它适用于

@crossdomain(origin='http://myserver.com', headers='Content-Type')

也许它只适用于Flask 0.7.2? (尽管它在片段页面上说的内容)。

编辑: 在玩了这么多(并升级到Flask 0.9)之后,似乎真正的问题(或另一个问题)可能与在列表中具有多个允许的起源有关。换句话说,使用上面这样的代码:

@crossdomain(origin=['http://myserver.com', 'http://myserver2.com'], headers='Content-Type')

不起作用。

为了解决这个问题,我调整了装饰器。看这里的代码: http://chopapp.com/#351l7gc3

此代码仅返回请求站点的域(如果它在列表中)。有点古怪,但至少对我来说,问题解决了:))

答案 1 :(得分:0)

Python正在努力防止您将自己暴露给跨站点脚本攻击。

一个修复是通过放弃,并让您的请求到达运行烧瓶脚本的同一服务器。无论如何,从字符串中定义的远程服务器中获取JSON都是有风险的业务。

我能够通过让浏览器保持在同一台服务器上来解决这个问题,如下所示:

$('a#calculate').bind('click', function() {
  $.getJSON('/_add_numbers', { 
    a: $('input[name="a"]').val(),
    b: $('input[name="b"]').val()
  }, function(data) {
    $("#result").text(data.request);
  });
  return false;
});

注意getJSON方法如何传递/_add_numbers。它与浏览器通信以保持在同一主机上并查找该页面。然后浏览器很开心且安全,我们将停留在同一台主机上,您永远不会收到错误:

Origin http://myserver.com is not allowed by Access-Control-Allow-Origin
相关问题
最新问题