|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
引言
在现代Web开发中,前后端分离架构已成为主流。这种架构模式下,前端通常运行在一个域(如http://localhost:3000),而后端API服务则运行在另一个域(如http://api.example.com)。当浏览器中的JavaScript代码尝试访问不同源的资源时,就会遇到跨域资源共享(Cross-Origin Resource Sharing,CORS)的限制。这些限制是由浏览器的同源策略(Same-Origin Policy)强制执行的,旨在保护用户免受恶意网站的攻击。
Flask作为Python中流行的轻量级Web框架,在构建RESTful API时经常需要处理CORS问题。正确配置CORS不仅能够解决前后端分离开发中的常见问题,还能提升应用的安全性。本文将全面介绍Flask中处理CORS的各种方法,从基础配置到高级应用技巧,帮助开发者解决实际开发中的CORS相关问题。
CORS基础
同源策略
同源策略是Web浏览器中的一项重要安全机制,它限制了一个源的文档或脚本如何能与另一个源的资源进行交互。所谓”同源”或”同站点”指的是三个方面的相同:协议(如HTTP、HTTPS)、域名(如example.com)和端口(如80、443)。例如,http://example.com/page1.html和http://example.com/page2.html是同源的,但http://example.com和https://example.com则不是同源的,因为协议不同。
同源策略的主要目的是防止恶意网站通过脚本访问另一个网站的敏感数据。例如,如果没有同源策略,恶意网站可能会通过脚本访问用户已登录的银行网站,从而窃取用户信息。
CORS工作原理
CORS是一种机制,它使用额外的HTTP头来告诉浏览器,让运行在一个源上的Web应用被准许访问来自不同源服务器上的指定资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求。
CORS的工作原理如下:
1. 简单请求:对于某些HTTP请求(如GET、HEAD和POST,且Content-Type为特定值),浏览器会直接发送请求,并在请求中包含Origin头部,表示请求的来源。服务器收到请求后,会检查Origin头部,并决定是否允许该请求。如果允许,服务器会在响应中包含Access-Control-Allow-Origin头部,其值为允许的源。
2. 预检请求:对于某些复杂的请求(如使用PUT或DELETE方法,或者Content-Type为application/json),浏览器会先发送一个”预检请求”(Preflight Request),使用OPTIONS方法询问服务器是否允许实际的请求。服务器收到预检请求后,会返回一个响应,包含各种CORS相关的头部,如Access-Control-Allow-Methods(允许的方法)、Access-Control-Allow-Headers(允许的头部)等。浏览器根据这些响应头部决定是否发送实际的请求。
3. 凭证请求:如果请求需要包含凭证(如Cookie或HTTP认证信息),浏览器会发送带有Credentials头部的请求,服务器需要在响应中包含Access-Control-Allow-Credentials: true头部,并且Access-Control-Allow-Origin不能为通配符*。
简单请求:对于某些HTTP请求(如GET、HEAD和POST,且Content-Type为特定值),浏览器会直接发送请求,并在请求中包含Origin头部,表示请求的来源。服务器收到请求后,会检查Origin头部,并决定是否允许该请求。如果允许,服务器会在响应中包含Access-Control-Allow-Origin头部,其值为允许的源。
预检请求:对于某些复杂的请求(如使用PUT或DELETE方法,或者Content-Type为application/json),浏览器会先发送一个”预检请求”(Preflight Request),使用OPTIONS方法询问服务器是否允许实际的请求。服务器收到预检请求后,会返回一个响应,包含各种CORS相关的头部,如Access-Control-Allow-Methods(允许的方法)、Access-Control-Allow-Headers(允许的头部)等。浏览器根据这些响应头部决定是否发送实际的请求。
凭证请求:如果请求需要包含凭证(如Cookie或HTTP认证信息),浏览器会发送带有Credentials头部的请求,服务器需要在响应中包含Access-Control-Allow-Credentials: true头部,并且Access-Control-Allow-Origin不能为通配符*。
CORS相关HTTP头部
以下是一些常见的CORS相关HTTP头部:
• Origin: 表示请求的来源。
• Access-Control-Allow-Origin: 指定哪些源可以访问资源。可以是具体的源(如http://example.com),也可以是通配符*(表示允许任何源)。
• Access-Control-Allow-Methods: 指定允许的HTTP方法(如GET、POST、PUT、DELETE等)。
• Access-Control-Allow-Headers: 指定允许的请求头部(如Content-Type、Authorization等)。
• Access-Control-Allow-Credentials: 指定是否允许发送凭证(如Cookie或HTTP认证信息)。
• Access-Control-Expose-Headers: 指定哪些响应头部可以被客户端访问。
• Access-Control-Max-Age: 指定预检请求的结果可以被缓存多长时间(以秒为单位)。
Flask-CORS扩展安装与基础配置
在Flask中处理CORS有多种方法,但最简单和推荐的方法是使用Flask-CORS扩展。Flask-CORS是一个Flask扩展,用于处理跨域资源共享(CORS),使跨域AJAX请求成为可能。
安装Flask-CORS
首先,我们需要安装Flask-CORS扩展。可以使用pip进行安装:
基础配置
安装完成后,我们可以在Flask应用中配置Flask-CORS。最简单的配置方式是全局启用CORS:
- from flask import Flask
- from flask_cors import CORS
- app = Flask(__name__)
- # 全局启用CORS
- CORS(app)
- @app.route('/')
- def hello_world():
- return 'Hello, World!'
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们通过CORS(app)全局启用了CORS,这意味着所有的路由都会允许跨域请求。这种配置方式适用于开发环境,但在生产环境中可能需要更精细的控制。
基本CORS配置方法
全局配置
全局配置是最简单的CORS配置方式,适用于所有路由都需要允许跨域请求的情况。我们可以通过CORS(app)来全局启用CORS,也可以通过传递参数来配置全局CORS选项:
- from flask import Flask
- from flask_cors import CORS
- app = Flask(__name__)
- # 全局启用CORS,并配置选项
- CORS(app, resources={r"/*": {"origins": "*"}})
- @app.route('/')
- def hello_world():
- return 'Hello, World!'
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们通过resources参数指定了哪些路径应用CORS策略。r"/*"表示所有路径,{"origins": "*"}表示允许所有源。我们也可以指定特定的源:
- CORS(app, resources={r"/*": {"origins": "http://example.com"}})
路由级别配置
如果我们只想为特定的路由启用CORS,可以使用装饰器的方式:
- from flask import Flask, jsonify
- from flask_cors import cross_origin
- app = Flask(__name__)
- @app.route('/api/public')
- @cross_origin()
- def public_api():
- return jsonify(message="This is a public API")
- @app.route('/api/private')
- def private_api():
- return jsonify(message="This is a private API")
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,只有/api/public路由允许跨域请求,而/api/private路由不允许。我们也可以在装饰器中指定CORS选项:
- @app.route('/api/public')
- @cross_origin(origins="http://example.com", methods=["GET", "POST"])
- def public_api():
- return jsonify(message="This is a public API")
蓝图级别配置
如果我们使用Flask的蓝图(Blueprint)来组织应用,可以为整个蓝图配置CORS:
- from flask import Flask, Blueprint
- from flask_cors import CORS
- app = Flask(__name__)
- api_v1 = Blueprint('api_v1', __name__, url_prefix='/api/v1')
- # 为蓝图配置CORS
- CORS(api_v1, origins="http://example.com")
- @api_v1.route('/users')
- def get_users():
- return jsonify(users=["Alice", "Bob", "Charlie"])
- app.register_blueprint(api_v1)
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们为api_v1蓝图配置了CORS,只允许来自http://example.com的请求。
高级CORS配置选项
预检请求处理
对于复杂的请求(如使用PUT或DELETE方法,或者Content-Type为application/json),浏览器会先发送一个预检请求(OPTIONS方法)。Flask-CORS会自动处理预检请求,但我们也可以自定义预检请求的处理:
- from flask import Flask, request, jsonify
- from flask_cors import cross_origin
- app = Flask(__name__)
- @app.route('/api/data', methods=['GET', 'POST', 'OPTIONS'])
- @cross_origin(
- origins="http://example.com",
- methods=["GET", "POST", "OPTIONS"],
- allow_headers=["Content-Type", "Authorization"],
- max_age=86400
- )
- def handle_data():
- if request.method == 'POST':
- data = request.get_json()
- return jsonify(data=data)
- else:
- return jsonify(message="GET request received")
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们明确指定了允许的方法、头部和预检请求的缓存时间。max_age=86400表示预检请求的结果可以被缓存86400秒(24小时)。
动态源配置
在某些情况下,我们可能需要根据请求的动态信息来决定是否允许跨域请求。Flask-CORS支持动态源配置:
- from flask import Flask, request, jsonify
- from flask_cors import CORS
- app = Flask(__name__)
- def dynamic_origin(origin):
- # 这里可以根据origin的值动态决定是否允许
- allowed_origins = ["http://example.com", "http://test.com"]
- return origin in allowed_origins
- CORS(app, resources={r"/api/*": {"origins": dynamic_origin}})
- @app.route('/api/data')
- def get_data():
- return jsonify(data=["item1", "item2", "item3"])
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们定义了一个dynamic_origin函数,它根据请求的Origin头部动态决定是否允许跨域请求。
凭证处理
如果请求需要包含凭证(如Cookie或HTTP认证信息),我们需要在服务器端明确允许:
- from flask import Flask, jsonify, session
- from flask_cors import cross_origin
- app = Flask(__name__)
- app.secret_key = 'your-secret-key'
- @app.route('/api/login', methods=['POST'])
- @cross_origin(supports_credentials=True)
- def login():
- session['user_id'] = '123'
- return jsonify(message="Logged in successfully")
- @app.route('/api/profile')
- @cross_origin(
- origins="http://example.com",
- supports_credentials=True,
- allow_headers=["Content-Type", "Authorization"]
- )
- def profile():
- if 'user_id' in session:
- return jsonify(user_id=session['user_id'])
- else:
- return jsonify(error="Not logged in"), 401
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们通过supports_credentials=True允许发送凭证。注意,当允许凭证时,Access-Control-Allow-Origin不能为通配符*,必须指定具体的源。
自定义头部处理
如果需要自定义响应头部,可以使用expose_headers参数:
- from flask import Flask, jsonify
- from flask_cors import cross_origin
- app = Flask(__name__)
- @app.route('/api/data')
- @cross_origin(
- origins="http://example.com",
- expose_headers=["X-Custom-Header", "X-Another-Header"]
- )
- def get_data():
- response = jsonify(data=["item1", "item2", "item3"])
- response.headers['X-Custom-Header'] = 'Custom Value'
- response.headers['X-Another-Header'] = 'Another Value'
- return response
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们通过expose_headers参数指定了哪些自定义响应头部可以被客户端访问。
安全性考虑与最佳实践
限制允许的源
在生产环境中,应该避免使用通配符*作为Access-Control-Allow-Origin的值,因为这会允许任何网站访问你的API。相反,应该明确指定允许的源:
- from flask import Flask
- from flask_cors import CORS
- app = Flask(__name__)
- # 生产环境中的推荐配置
- allowed_origins = [
- "https://your-frontend-domain.com",
- "https://www.your-frontend-domain.com"
- ]
- CORS(app, resources={r"/*": {"origins": allowed_origins}})
- # 或者使用正则表达式匹配
- # CORS(app, resources={r"/*": {"origins": r"https://.*\.your-frontend-domain\.com"}})
- if __name__ == '__main__':
- app.run(debug=True)
限制允许的方法和头部
同样,应该限制允许的HTTP方法和请求头部,只允许实际需要的方法和头部:
- from flask import Flask
- from flask_cors import CORS
- app = Flask(__name__)
- CORS(app, resources={
- r"/api/public/*": {
- "origins": ["https://your-frontend-domain.com"],
- "methods": ["GET", "POST"],
- "allow_headers": ["Content-Type", "Authorization"]
- },
- r"/api/admin/*": {
- "origins": ["https://admin.your-frontend-domain.com"],
- "methods": ["GET", "POST", "PUT", "DELETE"],
- "allow_headers": ["Content-Type", "Authorization", "X-Admin-Token"]
- }
- })
- if __name__ == '__main__':
- app.run(debug=True)
谨慎使用凭证支持
启用凭证支持(supports_credentials=True)会增加安全风险,因为它允许浏览器发送敏感信息(如Cookie)。只有在确实需要时才启用凭证支持,并且确保只允许可信的源:
- from flask import Flask
- from flask_cors import CORS
- app = Flask(__name__)
- # 只对需要认证的路由启用凭证支持
- CORS(app, resources={
- r"/api/auth/*": {
- "origins": ["https://your-frontend-domain.com"],
- "supports_credentials": True,
- "methods": ["GET", "POST"],
- "allow_headers": ["Content-Type", "Authorization", "X-CSRF-Token"]
- }
- })
- if __name__ == '__main__':
- app.run(debug=True)
使用HTTPS
在生产环境中,应该使用HTTPS来保护数据传输的安全性。HTTPS可以防止中间人攻击,确保数据在传输过程中不被篡改或窃取。同时,某些CORS功能(如发送凭证)要求使用HTTPS:
- from flask import Flask
- from flask_cors import CORS
- app = Flask(__name__)
- # 生产环境中的HTTPS配置
- app.config['SESSION_COOKIE_SECURE'] = True # 只通过HTTPS发送Cookie
- app.config['SESSION_COOKIE_HTTPONLY'] = True # 防止JavaScript访问Cookie
- app.config['SESSION_COOKIE_SAMESITE'] = 'Lax' # 防止CSRF攻击
- CORS(app, resources={
- r"/*": {
- "origins": ["https://your-frontend-domain.com"],
- "supports_credentials": True
- }
- })
- if __name__ == '__main__':
- # 在生产环境中,应该使用生产级的WSGI服务器(如Gunicorn)和反向代理(如Nginx)
- app.run(ssl_context='adhoc', debug=True) # 仅用于开发测试
实施CSRF保护
跨域请求可能会增加CSRF(Cross-Site Request Forgery)攻击的风险。为了防止CSRF攻击,应该实施CSRF保护机制:
- from flask import Flask, session, request, jsonify
- from flask_cors import cross_origin
- import secrets
- app = Flask(__name__)
- app.secret_key = 'your-secret-key'
- @app.route('/api/csrf-token', methods=['GET'])
- @cross_origin(origins=["https://your-frontend-domain.com"])
- def get_csrf_token():
- if 'csrf_token' not in session:
- session['csrf_token'] = secrets.token_hex(16)
- return jsonify(csrf_token=session['csrf_token'])
- @app.route('/api/data', methods=['POST'])
- @cross_origin(
- origins=["https://your-frontend-domain.com"],
- supports_credentials=True,
- allow_headers=["Content-Type", "X-CSRF-Token"]
- )
- def post_data():
- csrf_token = request.headers.get('X-CSRF-Token')
- if 'csrf_token' not in session or session['csrf_token'] != csrf_token:
- return jsonify(error="Invalid CSRF token"), 403
-
- data = request.get_json()
- # 处理数据...
- return jsonify(success=True)
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们实现了一个简单的CSRF保护机制。客户端首先需要获取一个CSRF令牌,然后在发送请求时在请求头部中包含这个令牌。服务器会验证令牌的有效性,只有令牌有效的请求才会被处理。
常见问题与解决方案
问题1:预检请求失败
现象:浏览器控制台显示预检请求失败,错误信息类似于”Response to preflight request doesn’t pass access control check”。
原因:这通常是因为服务器没有正确处理OPTIONS请求,或者没有返回正确的CORS头部。
解决方案:
1. 确保服务器正确处理OPTIONS请求。Flask-CORS会自动处理OPTIONS请求,但如果使用了自定义的CORS配置,可能需要明确允许OPTIONS方法:
- from flask import Flask, request, jsonify
- from flask_cors import cross_origin
- app = Flask(__name__)
- @app.route('/api/data', methods=['GET', 'POST', 'OPTIONS'])
- @cross_origin(
- origins=["https://your-frontend-domain.com"],
- methods=["GET", "POST", "OPTIONS"],
- allow_headers=["Content-Type", "Authorization"]
- )
- def handle_data():
- if request.method == 'POST':
- data = request.get_json()
- return jsonify(data=data)
- else:
- return jsonify(message="GET request received")
- if __name__ == '__main__':
- app.run(debug=True)
1. 确保服务器返回正确的CORS头部。可以使用浏览器开发者工具检查响应头部,确保包含以下头部:
- Access-Control-Allow-Origin: https://your-frontend-domain.com
- Access-Control-Allow-Methods: GET, POST, OPTIONS
- Access-Control-Allow-Headers: Content-Type, Authorization
问题2:凭证请求失败
现象:浏览器控制台显示凭证请求失败,错误信息类似于”Credentials mode is ‘include’, but the ‘Access-Control-Allow-Credentials’ header is ““。
原因:这通常是因为服务器没有设置Access-Control-Allow-Credentials头部为true,或者设置了Access-Control-Allow-Origin为通配符*。
解决方案:
1. 确保服务器设置Access-Control-Allow-Credentials头部为true:
- from flask import Flask, jsonify, session
- from flask_cors import cross_origin
- app = Flask(__name__)
- app.secret_key = 'your-secret-key'
- @app.route('/api/data')
- @cross_origin(
- origins=["https://your-frontend-domain.com"],
- supports_credentials=True
- )
- def get_data():
- if 'user_id' in session:
- return jsonify(user_id=session['user_id'])
- else:
- return jsonify(error="Not logged in"), 401
- if __name__ == '__main__':
- app.run(debug=True)
1. 确保不使用通配符*作为Access-Control-Allow-Origin的值,而是指定具体的源:
- # 错误的配置
- @cross_origin(origins="*", supports_credentials=True)
- # 正确的配置
- @cross_origin(origins=["https://your-frontend-domain.com"], supports_credentials=True)
问题3:自定义响应头部无法访问
现象:浏览器无法访问自定义的响应头部,错误信息类似于”Cannot access custom header”。
原因:这通常是因为服务器没有设置Access-Control-Expose-Headers头部,或者没有包含需要访问的自定义头部。
解决方案:
1. 确保服务器设置Access-Control-Expose-Headers头部,并包含需要访问的自定义头部:
- from flask import Flask, jsonify
- from flask_cors import cross_origin
- app = Flask(__name__)
- @app.route('/api/data')
- @cross_origin(
- origins=["https://your-frontend-domain.com"],
- expose_headers=["X-Custom-Header", "X-Another-Header"]
- )
- def get_data():
- response = jsonify(data=["item1", "item2", "item3"])
- response.headers['X-Custom-Header'] = 'Custom Value'
- response.headers['X-Another-Header'] = 'Another Value'
- return response
- if __name__ == '__main__':
- app.run(debug=True)
问题4:CORS配置在生产环境中不工作
现象:CORS配置在开发环境中工作正常,但在生产环境中不工作。
原因:这通常是因为生产环境中的反向代理(如Nginx)没有正确配置CORS头部,或者缓存了错误的CORS头部。
解决方案:
1. 确保反向代理正确配置CORS头部。例如,在Nginx中:
- server {
- listen 80;
- server_name api.example.com;
- location / {
- # 如果Flask应用已经处理了CORS,可以添加以下头部
- add_header 'Access-Control-Allow-Origin' 'https://your-frontend-domain.com';
- add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
- add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization';
-
- # 处理预检请求
- if ($request_method = 'OPTIONS') {
- add_header 'Access-Control-Allow-Origin' 'https://your-frontend-domain.com';
- add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
- add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization';
- add_header 'Access-Control-Max-Age' 1728000;
- add_header 'Content-Type' 'text/plain; charset=utf-8';
- add_header 'Content-Length' 0;
- return 204;
- }
- proxy_pass http://127.0.0.1:5000;
- proxy_set_header Host $host;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- }
- }
1. 确保缓存不会干扰CORS头部。可以在响应中添加Cache-Control头部来控制缓存:
- from flask import Flask, jsonify
- from flask_cors import cross_origin
- app = Flask(__name__)
- @app.route('/api/data')
- @cross_origin(
- origins=["https://your-frontend-domain.com"]
- )
- def get_data():
- response = jsonify(data=["item1", "item2", "item3"])
- response.headers['Cache-Control'] = 'no-cache, no-store, must-revalidate'
- response.headers['Pragma'] = 'no-cache'
- response.headers['Expires'] = '0'
- return response
- if __name__ == '__main__':
- app.run(debug=True)
实际应用案例
案例1:构建一个支持CORS的RESTful API
在这个案例中,我们将构建一个简单的RESTful API,支持CORS,并实现基本的CRUD操作。
- from flask import Flask, request, jsonify
- from flask_cors import CORS
- import uuid
- app = Flask(__name__)
- # 配置CORS
- CORS(app, resources={
- r"/api/*": {
- "origins": ["http://localhost:3000", "https://your-frontend-domain.com"],
- "methods": ["GET", "POST", "PUT", "DELETE", "OPTIONS"],
- "allow_headers": ["Content-Type", "Authorization"]
- }
- })
- # 模拟数据库
- items = {
- "1": {"name": "Item 1", "description": "Description 1"},
- "2": {"name": "Item 2", "description": "Description 2"},
- "3": {"name": "Item 3", "description": "Description 3"}
- }
- # 获取所有项目
- @app.route('/api/items', methods=['GET'])
- def get_items():
- return jsonify(items)
- # 获取单个项目
- @app.route('/api/items/<item_id>', methods=['GET'])
- def get_item(item_id):
- if item_id in items:
- return jsonify(items[item_id])
- else:
- return jsonify({"error": "Item not found"}), 404
- # 创建新项目
- @app.route('/api/items', methods=['POST'])
- def create_item():
- data = request.get_json()
- if not data or 'name' not in data:
- return jsonify({"error": "Invalid data"}), 400
-
- item_id = str(uuid.uuid4())
- items[item_id] = {
- "name": data['name'],
- "description": data.get('description', '')
- }
-
- return jsonify({"id": item_id, **items[item_id]}), 201
- # 更新项目
- @app.route('/api/items/<item_id>', methods=['PUT'])
- def update_item(item_id):
- if item_id not in items:
- return jsonify({"error": "Item not found"}), 404
-
- data = request.get_json()
- if not data:
- return jsonify({"error": "Invalid data"}), 400
-
- if 'name' in data:
- items[item_id]['name'] = data['name']
- if 'description' in data:
- items[item_id]['description'] = data['description']
-
- return jsonify(items[item_id])
- # 删除项目
- @app.route('/api/items/<item_id>', methods=['DELETE'])
- def delete_item(item_id):
- if item_id not in items:
- return jsonify({"error": "Item not found"}), 404
-
- del items[item_id]
- return jsonify({"result": "Item deleted"})
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们构建了一个简单的RESTful API,支持CORS,并实现了基本的CRUD操作。我们使用Flask-CORS扩展来处理CORS,配置了允许的源、方法和头部。
案例2:构建一个需要认证的API
在这个案例中,我们将构建一个需要认证的API,支持CORS,并使用JWT进行认证。
- from flask import Flask, request, jsonify
- from flask_cors import cross_origin
- import jwt
- import datetime
- from functools import wraps
- app = Flask(__name__)
- app.config['SECRET_KEY'] = 'your-secret-key'
- # 模拟数据库
- users = {
- "user1": {"password": "password1", "role": "user"},
- "admin": {"password": "adminpass", "role": "admin"}
- }
- # 认证装饰器
- def token_required(f):
- @wraps(f)
- def decorated(*args, **kwargs):
- token = request.headers.get('Authorization')
-
- if not token:
- return jsonify({"error": "Token is missing"}), 401
-
- try:
- # 去掉"Bearer "前缀
- token = token.split(" ")[1]
- data = jwt.decode(token, app.config['SECRET_KEY'], algorithms=["HS256"])
- current_user = users.get(data['username'])
- if not current_user:
- return jsonify({"error": "Invalid token"}), 401
- except:
- return jsonify({"error": "Invalid token"}), 401
-
- return f(current_user, *args, **kwargs)
-
- return decorated
- # 登录路由
- @app.route('/api/login', methods=['POST'])
- @cross_origin(
- origins=["http://localhost:3000", "https://your-frontend-domain.com"],
- allow_headers=["Content-Type"]
- )
- def login():
- auth = request.get_json()
-
- if not auth or not auth.get('username') or not auth.get('password'):
- return jsonify({"error": "Could not verify"}), 401
-
- user = users.get(auth['username'])
-
- if not user or user['password'] != auth['password']:
- return jsonify({"error": "Invalid credentials"}), 401
-
- token = jwt.encode({
- 'username': auth['username'],
- 'role': user['role'],
- 'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1)
- }, app.config['SECRET_KEY'])
-
- return jsonify({"token": token})
- # 受保护的路由
- @app.route('/api/protected', methods=['GET'])
- @cross_origin(
- origins=["http://localhost:3000", "https://your-frontend-domain.com"],
- allow_headers=["Authorization"]
- )
- @token_required
- def protected(current_user):
- return jsonify({"message": f"Hello, {current_user['role']}!"})
- # 管理员路由
- @app.route('/api/admin', methods=['GET'])
- @cross_origin(
- origins=["http://localhost:3000", "https://your-frontend-domain.com"],
- allow_headers=["Authorization"]
- )
- @token_required
- def admin(current_user):
- if current_user['role'] != 'admin':
- return jsonify({"error": "Admin access required"}), 403
-
- return jsonify({"message": "Welcome, admin!"})
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们构建了一个需要认证的API,支持CORS,并使用JWT进行认证。我们实现了登录功能,以及两个受保护的路由:一个需要任何用户认证,另一个需要管理员权限。我们使用装饰器来处理认证逻辑,并使用Flask-CORS来处理CORS。
案例3:构建一个支持文件上传的API
在这个案例中,我们将构建一个支持文件上传的API,支持CORS,并处理文件上传。
- import os
- from flask import Flask, request, jsonify, send_from_directory
- from flask_cors import cross_origin
- from werkzeug.utils import secure_filename
- app = Flask(__name__)
- app.config['UPLOAD_FOLDER'] = 'uploads'
- app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024 # 16MB max file size
- # 确保上传目录存在
- os.makedirs(app.config['UPLOAD_FOLDER'], exist_ok=True)
- # 允许的文件扩展名
- ALLOWED_EXTENSIONS = {'txt', 'pdf', 'png', 'jpg', 'jpeg', 'gif'}
- def allowed_file(filename):
- return '.' in filename and filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS
- # 文件上传路由
- @app.route('/api/upload', methods=['POST'])
- @cross_origin(
- origins=["http://localhost:3000", "https://your-frontend-domain.com"],
- allow_headers=["Content-Type", "Authorization"]
- )
- def upload_file():
- if 'file' not in request.files:
- return jsonify({"error": "No file part"}), 400
-
- file = request.files['file']
-
- if file.filename == '':
- return jsonify({"error": "No selected file"}), 400
-
- if file and allowed_file(file.filename):
- filename = secure_filename(file.filename)
- file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))
- return jsonify({"message": "File uploaded successfully", "filename": filename})
- else:
- return jsonify({"error": "File type not allowed"}), 400
- # 文件下载路由
- @app.route('/api/download/<filename>', methods=['GET'])
- @cross_origin(
- origins=["http://localhost:3000", "https://your-frontend-domain.com"]
- )
- def download_file(filename):
- return send_from_directory(app.config['UPLOAD_FOLDER'], filename)
- # 获取所有文件列表
- @app.route('/api/files', methods=['GET'])
- @cross_origin(
- origins=["http://localhost:3000", "https://your-frontend-domain.com"]
- )
- def list_files():
- files = []
- for filename in os.listdir(app.config['UPLOAD_FOLDER']):
- if allowed_file(filename):
- files.append(filename)
- return jsonify(files=files)
- if __name__ == '__main__':
- app.run(debug=True)
在这个例子中,我们构建了一个支持文件上传的API,支持CORS,并实现了文件上传、下载和列表功能。我们使用Flask-CORS来处理CORS,并实现了文件类型检查和文件名安全处理。
总结
在本文中,我们全面介绍了Flask中处理跨域资源共享(CORS)的各种方法,从基础配置到高级应用技巧。我们首先了解了CORS的基本概念和工作原理,然后介绍了如何使用Flask-CORS扩展来处理CORS,包括全局配置、路由级别配置和蓝图级别配置。我们还探讨了高级CORS配置选项,如预检请求处理、动态源配置、凭证处理和自定义头部处理。
在安全性考虑与最佳实践部分,我们讨论了如何限制允许的源、方法和头部,谨慎使用凭证支持,使用HTTPS,以及实施CSRF保护。在常见问题与解决方案部分,我们解决了一些常见的CORS问题,如预检请求失败、凭证请求失败、自定义响应头部无法访问以及CORS配置在生产环境中不工作。
最后,我们提供了三个实际应用案例,展示了如何构建支持CORS的RESTful API、需要认证的API以及支持文件上传的API。这些案例涵盖了实际开发中的常见场景,可以帮助开发者更好地理解和应用CORS配置。
正确配置CORS不仅能够解决前后端分离开发中的常见问题,还能提升应用的安全性。通过遵循本文中的最佳实践,开发者可以构建既安全又灵活的Web应用,满足现代Web开发的需求。 |
|
简体中文
繁體中文
English
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
Français
Japanese
/1 
白金月票" />
发表于 2025-9-1 09:10:00
照妖镜
