我正在研究React Native前端和Python Flask后端。对于我的POST请求,有时需要提供两个附加标头:X-CSRF-TOKEN-ACCESS和X-CSRF-TOKEN-REFRESH以进行身份验证。
但是,我的问题是我正在使用flask-cors + flask-jwt-extended,看起来好像有一些预检请求问题:我的前台发送带有两个标头的请求,但是当收到请求时在POST后端中,两个标头值均为null。在预检OPTIONS请求期间,我想这些标头将变为null ...
我的问题:我需要在烧瓶配置中进行哪些修改才能在请求中允许此类标头?
实际配置:
app = Flask(__name__)
app.config.from_object(APP_CONFIG[CONFIG_ENV])
cors = CORS(
app,
resources={
"/*": {
"origins": [ # I am allowing several clients
"http://127.0.0.1:19006",
"http://192.168.1.38:19006",
"http://192.168.1.38",
"http://172.20.10.6",
"http://172.20.10.6:19006",
]
}
},
supports_credentials=True,
headers=["X-Csrf-Token-Access", "X-Csrf-Token-Refresh", "Content-Type"],
expose_headers=["X-Csrf-Token-Access", "X-Csrf-Token-Refresh", "Content-Type"],
)
APP_CONFIG[CONFIG_ENV].init_app(app)
以及其他配置:
class Config:
SECRET_KEY = os.getenv('SECRET_KEY')
JWT_SECRET_KEY = os.getenv("JWT_SECRET_KEY")
JWT_TOKEN_LOCATION = ['cookies']
JWT_ACCESS_TOKEN_EXPIRES = datetime.timedelta(seconds=1800)
JWT_COOKIE_SECURE = False
JWT_REFRESH_TOKEN_EXPIRES = datetime.timedelta(days=15)
JWT_COOKIE_CSRF_PROTECT = True # set_refresh_cookies() will now also set the non-httponly CSRF cookies
JWT_CSRF_CHECK_FORM = True
JWT_ACCESS_CSRF_HEADER_NAME = "X-CSRF-TOKEN-ACCESS"
JWT_REFRESH_CSRF_HEADER_NAME = "X-CSRF-TOKEN-REFRESH"
@staticmethod
def init_app(app):
pass
编辑:还有一件事。当我的React请求X-CSRF-TOKE-REFRESH或X-CSRF-TOKE-ACCESS标头值设置为愚蠢的值(例如:“ blabla”)时,我可以在后端清楚地看到它。