Django + Angular CORS无法使用POST

时间:2017-04-26 15:42:48

标签: django angular cors django-cors-headers

我的Angular4应用程序(在http://127.0.0.1:4200开发服务器上运行)应该访问网络上的django REST后端。后端由我控制,只能通过HTTPS运行(运行Apache将请求隧道传送到在内部端口上运行的gunicorn服务器)。我们说这是https://example.com/。由于历史原因,使用会话来记录用户,因为我希望用户在登录后也能够使用Django的管理界面。工作流程如下:

  • 用户打开http://127.0.0.1:4200,我向https://example.com/REST/is_logged_in执行GET请求,当用户尚未通过会话登录时返回403,否则返回200。在前一种情况下,用户被重定向到由Django的模板引擎呈现的https://example.com/login/,允许用户登录。登录后,用户被重定向到http://127.0.0.1:4200
  • 点击Angular UI中的某个按钮时,会执行POST请求。即使预检OPTIONS请求明确将POST列为允许的操作,此发布请求也会失败,即使是403。

这是我在Django中的CORS配置:

NG_APP_ABSOLUTE_URL = 'http://127.0.0.1:4200'
# adapt Django's to Angular's presumed XSRF cookie/header names
CSRF_COOKIE_NAME = "XSRF-TOKEN"
CSRF_HEADER_NAME = "HTTP_X_XSRF_TOKEN"
CORS_ORIGIN_WHITELIST = (
    urlparse(NG_APP_ABSOLUTE_URL).netloc
)
CSRF_TRUSTED_ORIGINS = (
    urlparse(NG_APP_ABSOLUTE_URL).netloc
)
CORS_ALLOW_HEADERS = default_headers + (
    'x-xsrf-token',
)
CORS_ALLOW_CREDENTIALS = True

这是Chrome报告(成功的,200个)第一个REST GET请求,以检查用户是否在响应中登录(成功后):

Access-Control-Allow-Credentials:true Access-Control-Allow-Origin:http://127.0.0.1:4200 Allow:GET, HEAD, OPTIONS Connection:close Content-Type:application/json Date:Wed, 26 Apr 2017 15:09:26 GMT Server:gunicorn/19.6.0 Set-Cookie:XSRF-TOKEN=...; expires=Wed, 25-Apr-2018 15:09:26 GMT; Max-Age=31449600; Path=/ Transfer-Encoding:chunked Vary:Accept,Cookie,Origin X-Frame-Options:SAMEORIGIN

相应的请求有这个:

Cookie:sessionid=...; XSRF-TOKEN=... Host:example.com Origin:http://127.0.0.1:4200 Referer:http://127.0.0.1:4200/

现在,针对实际问题:

预检请求:

Request URL:https://example.com/REST/change_user_data/
Request Method:OPTIONS
Status Code:200 OK
Access-Control-Request-Headers:content-type
Access-Control-Request-Method:POST
Connection:keep-alive
Host:example.com
Origin:http://127.0.0.1:4200
Referer:http://127.0.0.1:4200/dashboard/account

飞行前响应:

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:accept, accept-encoding, authorization, content-type, dnt, origin, user-agent, x-csrftoken, x-requested-with, x-xsrf-token
Access-Control-Allow-Methods:DELETE, GET, OPTIONS, PATCH, POST, PUT
Access-Control-Allow-Origin:http://127.0.0.1:4200
Access-Control-Max-Age:86400
Connection:close
Content-Length:0
Content-Type:text/html; charset=utf-8
Date:Wed, 26 Apr 2017 15:36:56 GMT
Server:gunicorn/19.6.0
Vary:Origin
X-Frame-Options:SAMEORIGIN

现在我的失败(403)POST请求:

Accept:application/json
Accept-Encoding:gzip, deflate, br
Accept-Language:de-DE,de;q=0.8,en-US;q=0.6,en;q=0.4
Connection:keep-alive
Content-Length:60
Content-Type:application/json
Cookie:sessionid=...; XSRF-TOKEN=...
Host:example.com
Origin:http://127.0.0.1:4200
Referer:http://127.0.0.1:4200/dashboard/account

回复标题:

HTTP/1.1 403 Forbidden
Date: Wed, 26 Apr 2017 15:36:56 GMT
Server: gunicorn/19.6.0
Vary: Accept,Cookie,Origin
X-Frame-Options: SAMEORIGIN
Content-Type: application/json
Access-Control-Allow-Credentials: true
Allow: POST, OPTIONS
Access-Control-Allow-Origin: http://127.0.0.1:4200
Set-Cookie: XSRF-TOKEN=...; expires=Wed, 25-Apr-2018 15:36:56 GMT; Max-Age=31449600; Path=/
Connection: close
Transfer-Encoding: chunked

为什么这个请求不起作用?这对我来说没什么意义!

祝你好运!

1 个答案:

答案 0 :(得分:3)

我遇到了同样的问题,尝试从我的Angular CLI(端口4200)向Django(端口8000)发送POST请求。我认为这是Django的一个问题,所以我安装了cors包,但问题在于浏览器(实际上不是问题,这是一个安全问题,请参阅here)。无论如何,我解决了为Angular CLI添加代理规则的问题,如下所示:

  • 首先,不是将我的请求发送到 http://localhost:8000/api/ ...而是将它们发送到 / api / (即发送到我在端口4200上运行的ng服务器) )。
  • 然后我在Angular项目中添加了一个名为“proxy.conf.json”的文件,其中包含以下内容:
{
  "/api": {
    "target": "http://localhost:8000",
    "secure": false
  }
}
  • 最后,运行带有“--proxy-config”标志的ng服务器: ng serve --watch --proxy-config proxy.conf.json

所有API请求都将发送到端口4200,Angular将在内部将它们重定向到Django,从而避免出现CORS问题。 请注意,这仅适用于开发,在构建应用程序代码并将其添加为Django服务器的静态代码时不会使用。

最后,通过这个解决方案,我不再需要cors的python模块了,所以你可以删除它。

相关问题
最新问题