10

我正在尝试让 Flask 正确处理跨站点脚本。我从这里获取了跨域装饰器片段:http: //flask.pocoo.org/snippets/56/

在下面的代码中,我放置了装饰器片段和基本的烧瓶服务器。

我用 headers='Content-Type'调用装饰器,否则我得到“Access-Control-Allow-Headers 不允许请求标头字段 Content-Type”。在浏览器中。

所以这是我的问题:按原样,下面的代码有效。但是当我想限制到一个特定的服务器时: 

@crossdomain(origin='myserver.com', headers='Content-Type')

我收到浏览器错误

“访问控制允许来源不允许来源http://myserver.com 。”

除了origin='*'之外,我无法让它工作。

有人有什么想法吗?

这是完整的代码:

from datetime import timedelta
from flask import make_response, request, current_app, Flask, jsonify
from functools import update_wrapper

def crossdomain(origin=None, methods=None, headers=None,
            max_age=21600, attach_to_all=True,
            automatic_options=True):
    if methods is not None:
        methods = ', '.join(sorted(x.upper() for x in methods))
    if headers is not None and not isinstance(headers, basestring):
        headers = ', '.join(x.upper() for x in headers)
    if not isinstance(origin, basestring):
        origin = ', '.join(origin)
    if isinstance(max_age, timedelta):
        max_age = max_age.total_seconds()

    def get_methods():
        if methods is not None:
            return methods

        options_resp = current_app.make_default_options_response()
        return options_resp.headers['allow']

    def decorator(f):
        def wrapped_function(*args, **kwargs):
            if automatic_options and request.method == 'OPTIONS':
            resp = current_app.make_default_options_response()
            else:
                resp = make_response(f(*args, **kwargs))
            if not attach_to_all and request.method != 'OPTIONS':
                return resp

            h = resp.headers

            h['Access-Control-Allow-Origin'] = origin
            h['Access-Control-Allow-Methods'] = get_methods()
            h['Access-Control-Max-Age'] = str(max_age)
            if headers is not None:
                h['Access-Control-Allow-Headers'] = headers
            return resp

        f.provide_automatic_options = False
        return update_wrapper(wrapped_function, f)
    return decorator

app = Flask(__name__)

@app.route('/my_service', methods=['POST', 'OPTIONS'])
@crossdomain(origin='*', headers='Content-Type')
def my_service():
    return jsonify(foo='cross domain ftw')

if __name__ == '__main__':
    app.run(host="0.0.0.0", port=8080, debug=True)

作为参考,我的 python 版本是 2.7.2 Flask 版本是 0.7.2

4

2 回答 2

2

我刚刚使用 python 2.7.3 版和 Flask 0.8 版尝试了相同的代码。

使用这些版本,它失败了

@crossdomain(origin='myserver.com', headers='Content-Type')

但它适用于

@crossdomain(origin='http://myserver.com', headers='Content-Type')

也许它不适用于 Flask 0.7.2?(尽管它在片段页面上说了什么)。

编辑:在玩了更多(并升级到 Flask 0.9)之后,似乎真正的问题(或另一个问题)可能与列表中有多个允许的来源有关。换句话说,像这样使用上面的代码:

@crossdomain(origin=['http://myserver.com', 'http://myserver2.com'], headers='Content-Type')

不起作用。

为了解决这个问题,我调整了装饰器。请参阅此处的代码:http: //chopapp.com/#351l7gc3

如果请求站点在列表中,则此代码仅返回请求站点的域。有点古怪,但至少对我来说,问题解决了:)

于 2013-04-27T17:15:12.953 回答
1

Python 正在努力防止您将自己暴露于跨站点脚本攻击。

一种解决方法是让步,让您的请求到达运行烧瓶脚本的同一台服务器。无论如何,从字符串中定义的远程服务器获取 JSON 都是有风险的。

我可以通过让浏览器将自身保持在同一台服务器上来修复它,如下所示:

$('a#calculate').bind('click', function() {
  $.getJSON('/_add_numbers', { 
    a: $('input[name="a"]').val(),
    b: $('input[name="b"]').val()
  }, function(data) {
    $("#result").text(data.request);
  });
  return false;
});

注意 getJSON 方法是如何传递给/_add_numbers. 这与浏览器通信以保持在同一主机上并查找该页面。然后浏览器很高兴和安全,我们住在同一个主机上,你永远不会收到错误:

Origin http://myserver.com is not allowed by Access-Control-Allow-Origin
于 2014-09-26T15:08:40.367 回答