Nat*_*ate 10 python cross-site flask
我正在尝试让Flask正确处理跨站点脚本.我从这里采取了跨域装饰器片段:http: //flask.pocoo.org/snippets/56/
在下面的代码中,我将装饰器片段和基本的烧瓶服务器放在一起.
我正在使用headers ='Content-Type'调用装饰器, 因为否则我得到"请求标头字段Access-Control-Allow-Headers不允许Content-Type".在浏览器中.
所以这是我的问题:按原样,下面的代码有效.但是,当我想限制只有这样的特定服务器时:
@crossdomain(origin='myserver.com', headers='Content-Type')
我收到浏览器错误
" Access-Control-Allow-Origin不允许使用来源http://myserver.com."
除了origin ='*'之外,我无法使其工作.
有人有什么想法吗?
这是完整的代码:
from datetime import timedelta
from flask import make_response, request, current_app, Flask, jsonify
from functools import update_wrapper
def crossdomain(origin=None, methods=None, headers=None,
max_age=21600, attach_to_all=True,
automatic_options=True):
if methods is not None:
methods = ', '.join(sorted(x.upper() for x in methods))
if headers is not None and not isinstance(headers, basestring):
headers = ', '.join(x.upper() for x in headers)
if not isinstance(origin, basestring):
origin = ', '.join(origin)
if isinstance(max_age, timedelta):
max_age = max_age.total_seconds()
def get_methods():
if methods is not None:
return methods
options_resp = current_app.make_default_options_response()
return options_resp.headers['allow']
def decorator(f):
def wrapped_function(*args, **kwargs):
if automatic_options and request.method == 'OPTIONS':
resp = current_app.make_default_options_response()
else:
resp = make_response(f(*args, **kwargs))
if not attach_to_all and request.method != 'OPTIONS':
return resp
h = resp.headers
h['Access-Control-Allow-Origin'] = origin
h['Access-Control-Allow-Methods'] = get_methods()
h['Access-Control-Max-Age'] = str(max_age)
if headers is not None:
h['Access-Control-Allow-Headers'] = headers
return resp
f.provide_automatic_options = False
return update_wrapper(wrapped_function, f)
return decorator
app = Flask(__name__)
@app.route('/my_service', methods=['POST', 'OPTIONS'])
@crossdomain(origin='*', headers='Content-Type')
def my_service():
return jsonify(foo='cross domain ftw')
if __name__ == '__main__':
app.run(host="0.0.0.0", port=8080, debug=True)
作为参考,我的python版本是2.7.2 Flask版本是0.7.2
我刚刚在 python 版本 2.7.3 和 Flask 版本 0.8 上尝试了相同的代码。
对于这些版本,它会失败
@crossdomain(origin='myserver.com', headers='Content-Type')
但它适用于
@crossdomain(origin='http://myserver.com', headers='Content-Type')
也许它不适用于 Flask 0.7.2?(尽管代码片段页面上是这么说的)。
编辑:经过更多的尝试(并升级到 Flask 0.9)后,似乎真正的问题(或另一个问题)可能与列表中允许的多个来源有关。换句话说,使用上面的代码如下:
@crossdomain(origin=['http://myserver.com', 'http://myserver2.com'], headers='Content-Type')
不起作用。
为了解决这个问题,我调整了装饰器。请参阅此处的代码: http ://chopapp.com/#351l7gc3
此代码仅返回请求站点的域(如果该站点位于列表中)。有点奇怪,但至少对我来说,问题解决了:)
| 归档时间: |
|
| 查看次数: |
6233 次 |
| 最近记录: |