django-cors-header是否允许从所有来源访问管理站点?

时间:2019-09-13 12:43:47

标签: django cors

我正在使用DRF开发Django应用,并使用文档中推荐的django-cors-headers包添加了CORS配置。

我将原产地定为我的客户。我的问题是,使用此设置,是否可以从所有浏览器对管理站点进行公开访问?

这是我计划使用的生产设置。

# CORS_ORIGIN_ALLOW_ALL = True

CORS_ORIGIN_WHITELIST = ['client origin']

我无法测试此atm,因为我还没有准备好投入生产。

谢谢。

1 个答案:

答案 0 :(得分:1)

是的,仅当您希望站点上的资源在其他域的网页上可用时才适用。例如,当您的前端在example.com上运行而Django后端在api.example.com上运行时,您的浏览器可能会阻止对api.example.com的调用,因此,您需要将example.com添加到CORS_ORIGIN_WHIITELIST。

这对与Django后端在同一个域上运行的网页没有任何影响,因此,除非您对资源进行了一些复杂的配置,否则管理站点应该可以正常工作。