我的请求是否是跨域请求？（Django使用CORS在heroku上休息api而不阻止我的请求）

Question

我在heroku上托管了一个django rest api，并在其中使用了django-cors-headers。我在CORS白名单中添加了几个URL，但发现应用程序正在接受来自任何来源的请求（例如： - 我的本地PC）。我的查询是，为什么heroku没有阻止我的http请求，即使它没有列入白名单。

注意： - 我没有运行任何前端应用程序

以下是我的settings.py

的快照

INSTALLED_APPS = (
    'django.contrib.admin',
    'django.contrib.auth',
    'django.contrib.contenttypes',
    'django.contrib.sessions',
    'django.contrib.messages',
    'django.contrib.staticfiles',
    'corsheaders',
    'rest_framework',
    'rest_framework.authtoken',

)

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.security.SecurityMiddleware',
    'django.middleware.common.BrokenLinkEmailsMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
)

# REST FRAMEWORK

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        # 'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.TokenAuthentication',
    ],
    # Use hyperlinked styles by default.
    # Only used if the `serializer_class` attribute is not set on a view.
    'DEFAULT_MODEL_SERIALIZER_CLASS':
        'rest_framework.serializers.HyperlinkedModelSerializer',

    # Use Django's standard `django.contrib.auth` permissions,
    # or allow read-only access for unauthenticated users.
    'DEFAULT_PERMISSION_CLASSES': [
        'rest_framework.permissions.AllowAny',
    ],
    # Make the default renderer class JSON when in production to prevent users from using the browsable API
    'DEFAULT_RENDERER_CLASSES': [
         'rest_framework.renderers.JSONRenderer',
    ]

}

TEMPLATES = [
    {
        'BACKEND': 'django.template.backends.django.DjangoTemplates',
        'DIRS': [os.path.join(BASE_DIR)],
        'APP_DIRS': True,
        'OPTIONS': {
            'context_processors': [
                'django.template.context_processors.debug',
                'django.template.context_processors.request',
                'django.contrib.auth.context_processors.auth',
                'django.contrib.messages.context_processors.messages',
            ],
        },
    },
]



DATABASES = {'default': dj_database_url.config(default=os.environ["HEROKU_POSTGRESQL_RED_URL"])}


# Internationalization
# https://docs.djangoproject.com/en/1.8/topics/i18n/

LANGUAGE_CODE = 'en-us'

TIME_ZONE = 'UTC'

USE_I18N = True

USE_L10N = True

USE_TZ = True


# Static files (CSS, JavaScript, Images)
# https://docs.djangoproject.com/en/1.8/howto/static-files/

STATIC_URL = '/static/'
STATIC_ROOT = os.path.join(BASE_DIR, 'staticfiles')
STATICFILES_STORAGE = 'whitenoise.django.GzipManifestStaticFilesStorage'

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
        #'localhost:9000',
        #'localhost:5000',
        #'127.0.0.1:9000',
        #'127.0.0.1:5000',
    )

CORS_ALLOW_METHODS = (
        'GET',
        'POST',
        'PUT',
        'PATCH',
        'DELETE',
        'OPTIONS'
)

CORS_ALLOW_HEADERS = (
        'Access-Control-Allow-Origin',
        'x-requested-with',
        'content-type',
        'accept',
        'origin',
        'authorization',
        'x-csrftoken'
)

我期待它在我在settings.py中使用ALLOWED_HOSTS时的工作方式  ALLOWED_HOSTS = ['whitelist url']

如果我在这里错过了一些设置，请告诉我。

Answer 1

我认为CORS_ALLOW_HEADERS应该像

CORS_ALLOW_HEADERS = (
        'x-requested-with',
        'content-type',
        'accept',
        'origin',
        'authorization',
        'x-csrftoken'
)

如果您使用任何缓存控制，还应添加缓存控制。

<强>更新

如果您在外部服务器上托管该应用并尝试在本地访问该应用，会发生什么？

答案：当您的本地计算机访问互联网时，它会保留来自ISP的指定可用IP。这意味着外部服务器在您的计算机上被点击时，它将不会将其视为127.0.0.1，但它会将其视为此处显示的https://www.whatismyip.com/。

解决方案：要允许来自本地计算机的来源，请执行以下操作之一，

1. 将https://www.whatismyip.com/上显示的内容添加到CORS_ORIGIN_WHITELIST。但这意味着每次重新启动本地路由器时都必须编辑CORS_ORIGIN_WHITELIST。这是因为重新启动本地路由器，ISP将为您分配另一个IP。

2. 仅出于测试目的，添加＆＃39; *＆＃39;到CORS_ORIGIN_WHITELIST。

3. 尝试使用另一个heroku实例来发出请求。