4

我浏览了许多 SO 答案,但似乎找不到这个问题。我有一种感觉,我只是错过了一些明显的东西。

我有一个基本的 Flask api,并且我已经实现了 flask_cors 扩展和自定义 Flask 装饰器[@crossdomain from Armin Ronacher]1 ( http://flask.pocoo.org/snippets/56/ ) 两者都显示相同的问题。

这是我的示例应用程序:

application = Flask(__name__,
            static_url_path='',
            static_folder='static')
CORS(application)
application.config['CORS_HEADERS'] = 'Content-Type'

@application.route('/api/v1.0/example')
@cross_origin(origins=['http://example.com'])
# @crossdomain(origin='http://example.com')
def api_example():
  print(request.headers)
  response = jsonify({'key': 'value'})
  print(response.headers)
  return response

(插入编辑 3):

当我在浏览器中(从 127.0.0.1)从 JS 向该端点发出 GET 请求时,它总是返回 200,我希望看到:

Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://127.0.0.1:5000' is therefore not allowed access. The response had HTTP status code 403.

卷曲:

ACCT:ENVIRON user$ curl -i http://127.0.0.1:5000/api/v1.0/example
HTTP/1.0 200 OK
Content-Type: application/json
Content-Length: 20
Access-Control-Allow-Origin: http://example.com
Server: Werkzeug/0.11.4 Python/2.7.11
Date: [datetime]

{
  "key": "value"
}

日志:

Content-Length: 
User-Agent: curl/7.54.0
Host: 127.0.0.1:5000
Accept: */*
Content-Type: 


Content-Type: application/json
Content-Length: 20


127.0.0.1 - - [datetime] "GET /api/v1.0/example HTTP/1.1" 200 -

我什至没有在响应中看到所有正确的标头,而且它似乎并不关心请求中的来源。

有什么我想念的想法吗?谢谢!

编辑:

作为旁注,查看此处的文档示例(https://flask-cors.readthedocs.io/en/v1.7.4/#a-more-complicated-example),它显示:

@app.route("/")
def helloWorld():
    '''
        Since the path '/' does not match the regular expression r'/api/*',
        this route does not have CORS headers set.
    '''
    return '''This view is not exposed over CORS.'''

...这很有趣,因为我已经在没有任何 CORS 装饰的情况下暴露了根路径(和其他路径),并且它们从任何来源都可以正常工作。因此,这种设置似乎存在根本性的问题。

沿着这些思路,这里的教程(https://blog.miguelgrinberg.com/post/designing-a-restful-api-with-python-and-flask)似乎表明 Flask api 应该自然地暴露在没有保护的情况下(我会假设这只是因为尚未应用 CORS 扩展),但我的应用程序基本上只是像 CORS 扩展甚至不存在一样运行(除了您可以看到的日志中的一些注释)。

编辑2:

我的评论不清楚,所以我在 AWS API Gateway 上创建了三个具有不同 CORS 设置的示例端点。它们是简单地返回“成功”的 GET 方法端点:

1) CORS 未启用(默认):

回复:

XMLHttpRequest 无法加载 https://t9is0yupn4.execute-api.us-east-1.amazonaws.com/prod/cors-default。对预检请求的响应未通过访问控制检查:请求的资源上不存在“Access-Control-Allow-Origin”标头。因此,不允许访问源“ http://127.0.0.1:5000 ”。响应具有 HTTP 状态代码 403。

2) 启用 CORS - 来源受限:

回复:

XMLHttpRequest 无法加载 https://t9is0yupn4.execute-api.us-east-1.amazonaws.com/prod/cors-enabled-example。对预检请求的响应未通过访问控制检查:“Access-Control-Allow-Origin”标头的值“ http://example.com ”不等于提供的来源。因此,不允许访问源“ http://127.0.0.1:5000 ”。

3) 启用 CORS - 来源通配符:

回复:

"success"

我对基础设施没有那么丰富的经验,但我的期望是启用 Flask CORS 扩展会导致我的 api 端点模仿这种行为,具体取决于我在设置中origins=设置的内容。我在这个 Flask 设置中缺少什么?

解决方案编辑:

好吧,鉴于我的某些事情显然不正常,我剥离了我的应用程序并为每个 CORS 来源限制的变体重新实现了一些非常基本的 API。我一直在使用 AWS 的弹性 beanstalk 来托管测试环境,所以我重新上传了这些示例并对每个示例运行 JS ajax 请求。它现在正在工作。

Access-Control-Allow-Origin在裸端点上遇到错误。看来,当我为部署配置应用程序时,我取消了注释CORS(application, resources=r'/api/*'),这显然是允许裸端点的所有来源!

我不确定为什么带有特定限制origins=[]

特别感谢sideshowbarker的所有帮助!

4

1 回答 1

5

从您的问题原样来看,您所期望的行为并不完全清楚。但就 CORS 协议的工作方式而言,您的服务器似乎已经按预期运行。

具体来说,curl问题中引用的响应显示了此响应标头:

Access-Control-Allow-Origin: http://example.com

这表明服务器已经配置为告诉浏览器,如果代码在源运行,则仅允许来自浏览器中运行的前端 JavaScript 代码的跨源请求http://example.com

如果您期望的行为是服务器现在将拒绝来自非浏览器客户端的请求,例如curl,那么 CORS 配置本身不会导致服务器这样做。

当您使用 CORS 支持对其进行配置时,服务器唯一的不同之处就是发送Access-Control-Allow-Origin响应标头和其他 CORS 响应标头。而已。

CORS 限制的实际执行仅由浏览器完成,而不是由服务器完成。

因此,无论您进行何种服务器端 CORS 配置,服务器仍会继续接受来自所有客户端和来源的请求,否则会发生这种情况;换句话说,来自所有来源的所有客户端仍然会继续从服务器获取响应,就像他们在其他情况下一样。

浏览器只会将来自跨域请求的响应暴露给在特定来源运行的前端 JavsScript 代码,前提是发送请求的服务器选择通过响应Access-Control-Allow-Origin允许该来源的标头来允许该请求。

这是您使用 CORS 配置唯一可以做的事情。您不能仅通过执行任何服务器端 CORS 配置来使服务器仅接受和响应来自特定来源的请求。为此,您需要使用除 CORS 配置之外的其他内容。

于 2017-08-07T08:00:09.917 回答