我正在研究 React Native 前端和 Python Flask 后端。对于我的 POST 请求,我有时需要提供两个额外的标头:X-CSRF-TOKEN-ACCESS 和 X-CSRF-TOKEN-REFRESH 用于我的身份验证。
但是,我的问题是我使用的是flask-cors + flask-jwt-extended,看起来我遇到了一些预检请求问题:我的前端发送带有两个标头的请求,但是当在POST中收到请求时后端,两个标头值都是null. 在预检 OPTIONS 请求期间,我猜这些标头已变为空...
我的问题:我需要在我的烧瓶配置中修改什么以允许在我的请求中使用此类标头?
实际配置:
app = Flask(__name__)
app.config.from_object(APP_CONFIG[CONFIG_ENV])
cors = CORS(
app,
resources={
"/*": {
"origins": [ # I am allowing several clients
"http://127.0.0.1:19006",
"http://192.168.1.38:19006",
"http://192.168.1.38",
"http://172.20.10.6",
"http://172.20.10.6:19006",
]
}
},
supports_credentials=True,
headers=["X-Csrf-Token-Access", "X-Csrf-Token-Refresh", "Content-Type"],
expose_headers=["X-Csrf-Token-Access", "X-Csrf-Token-Refresh", "Content-Type"],
)
APP_CONFIG[CONFIG_ENV].init_app(app)
和其他配置:
class Config:
SECRET_KEY = os.getenv('SECRET_KEY')
JWT_SECRET_KEY = os.getenv("JWT_SECRET_KEY")
JWT_TOKEN_LOCATION = ['cookies']
JWT_ACCESS_TOKEN_EXPIRES = datetime.timedelta(seconds=1800)
JWT_COOKIE_SECURE = False
JWT_REFRESH_TOKEN_EXPIRES = datetime.timedelta(days=15)
JWT_COOKIE_CSRF_PROTECT = True # set_refresh_cookies() will now also set the non-httponly CSRF cookies
JWT_CSRF_CHECK_FORM = True
JWT_ACCESS_CSRF_HEADER_NAME = "X-CSRF-TOKEN-ACCESS"
JWT_REFRESH_CSRF_HEADER_NAME = "X-CSRF-TOKEN-REFRESH"
@staticmethod
def init_app(app):
pass
编辑:还有一件事。当我的 React 请求 X-CSRF-TOKE-REFRESH 或 X-CSRF-TOKE-ACCESS 标头值设置为哑值(例如:“blabla”)时,我可以在后端清楚地看到它。