장고 휴식 프레임 워크와 크로스 오리진 요청

Question

나는 장고 휴식 프레임 워크와 API 빌드를 휴식 자바 스크립트 클라이언트에서 몇 가지 요청을하려고합니다. /api/test에 대한 모든 GET 요청은 공개이므로 세션이나 토큰 등은 필요하지 않습니다. api/test에 대한 POST는 모두 비공개이며 사용자는 oauth2를 사용해야합니다.

the documentation에 따르면 django-core-headers으로 교차 원점 요청을 관리해야합니다. 이 모듈을 장고에 설치 한 후에 CORS_ORIGIN_ALLOW_ALL ~ True을 설정했는데 : 1) 그게 좋은 습관입니까? 2) 몇 점에서만 교차 출처 요청을 허용하는 좋은 해결책이 있습니까?

감사

당신이 CORS_ORIGIN_WHITELIST와 CORS_ORIGIN_REGEX_WHITELIST와 CORS의 기원을 제한 할 수 있습니다 장고 코어 헤더와

Answer 1

. 임의의 출처를 허용하기 위해 에이 필요하지 않은 경우 해당 값을 설정하십시오. 그렇지 않으면, 당신은 좋다.

원한다면보기에서 원점을 확인하여 원하는 원점과 일치하는지 확인하는 데코레이터를 작성할 수 있습니다. 어떤 모델이 POST 요청에 대해 권한이 부여 된 사용자를 추적하는지에 관계없이 설정할 수 있습니다. 그러나 임의의 출처에서 GET 요청을 허용하고 POST 요청이 승인 된 경우 POST 요청의 출처를 신경 쓰지 않는다면 분명히 알 수 있습니다. 결국 원산지를 어떻게 제한 할 수 있습니까? 고객이 요청할 수있는 위치를 알지 못합니까?