如何在烧瓶中启用CORS

89

我正在尝试使用jquery进行跨源请求,但它一直被消息拒绝

XMLHttpRequest无法加载http:// ...请求的资源上不存在“ Access-Control-Allow-Origin”标头。因此,不能访问Origin...。

我正在使用flask,heroku和jquery

客户端代码如下所示:

$(document).ready(function() {
    $('#submit_contact').click(function(e){
        e.preventDefault();
        $.ajax({
            type: 'POST',
            url: 'http://...',
            // data: [
            //      { name: "name", value: $('name').val()},
            //      { name: "email", value: $('email').val() },
            //      { name: "phone", value: $('phone').val()},
            //      { name: "description", value: $('desc').val()}
            //
            // ],
            data:"name=3&email=3&phone=3&description=3",
            crossDomain:true,
            success: function(msg) {
                alert(msg);
            }
        });
    }); 
});

在heroku方面,我正在使用烧瓶,就像这样

from flask import Flask,request
from flask.ext.mandrill import Mandrill
try:
    from flask.ext.cors import CORS  # The typical way to import flask-cors
except ImportError:
    # Path hack allows examples to be run without installation.
    import os
    parentdir = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))
    os.sys.path.insert(0, parentdir)

    from flask.ext.cors import CORS
app = Flask(__name__)

app.config['MANDRILL_API_KEY'] = '...'
app.config['MANDRILL_DEFAULT_FROM']= '...'
app.config['QOLD_SUPPORT_EMAIL']='...'
app.config['CORS_HEADERS'] = 'Content-Type'

mandrill = Mandrill(app)
cors = CORS(app)

@app.route('/email/',methods=['POST'])
def hello_world():
    name=request.form['name']
    email=request.form['email']
    phone=request.form['phone']
    description=request.form['description']

    mandrill.send_email(
        from_email=email,
        from_name=name,
        to=[{'email': app.config['QOLD_SUPPORT_EMAIL']}],
        text="Phone="+phone+"\n\n"+description
    )

    return '200 OK'

if __name__ == '__main__':
    app.run()
jquery  python  heroku  flask  cors 
pes
source

Answers:

165

当我部署到Heroku时,这对我有用。

http://flask-cors.readthedocs.org/en/latest/
通过运行-安装flask-cors- pip install -U flask-cors

from flask import Flask
from flask_cors import CORS, cross_origin
app = Flask(__name__)
cors = CORS(app)
app.config['CORS_HEADERS'] = 'Content-Type'

@app.route("/")
@cross_origin()
def helloWorld():
  return "Hello, cross-origin-world!"
丹尼尔·拉斯穆森(Daniel Rasmuson)
source
31
你好,跨世界起源加1!
西蒙·尼科尔斯
这是唯一对我有用的解决方案。谢谢!
psc37
1
你是救生员!像魅力一样工作。
Rohit Swami
嗨!您能帮我弄清楚我的情况吗?我使用Python / Flask编写了一个简单的API,甚至没有视图。我是通过curl命令到达的。现在,我写了一个简短的html页面,尝试使用JS fetch()方法向基于Heroku的API发出请求,并且出现了CORS错误。应用您的代码后,我的终端开始使用HTML代码(HTTP / 1.1 503服务不可用)而不是JSON响应我。这可能是个错误吗?谢谢!!
Nikita Basharkin
5
在任何人将此代码复制到他们的应用程序之前,请检查文档,因为只需要其中一些行。
rovyko
45

好的,我认为galuszkak提到的官方代码段不应该在任何地方使用,我们应该关注这样的情况,即在处理程序中可能会触发一些错误,例如hello_world函数。无论响应是正确还是不正确,Access-Control-Allow-Origin标题都是我们应该关注的。因此,事情非常简单,就像下面这样:

@blueprint.after_request # blueprint can also be app~~
def after_request(response):
    header = response.headers
    header['Access-Control-Allow-Origin'] = '*'
    return response

就是这样~~

张琦
source
这也帮助我完成了一个具有基本CRUD操作的小型项目。不需要任何花哨的东西,只需绕过错误:)
Narshe
34

我刚刚遇到了同样的问题,我开始相信其他答案比他们需要的要复杂一些,因此对于那些不想依赖更多库或装饰器的人来说,这是我的方法:

一个CORS请求实际上包含两个HTTP请求。预检请求,然后只有在预检成功通过后才发出的实际请求。

飞行前要求

在实际的跨域POST请求之前,浏览器将发出一个OPTIONS请求。该响应不应返回任何正文,而应仅返回一些令人放心的标头,告诉标头浏览器可以执行此跨域请求,并且不属于某些跨站点脚本攻击的一部分。

我编写了一个Python函数,使用模块中的make_response函数构建此响应flask

def _build_cors_prelight_response():
    response = make_response()
    response.headers.add("Access-Control-Allow-Origin", "*")
    response.headers.add("Access-Control-Allow-Headers", "*")
    response.headers.add("Access-Control-Allow-Methods", "*")
    return response

此响应是通配符,适用于所有请求。如果您希望CORS获得额外的安全性,则必须提供源,标头和方法的白名单。

该响应将说服您的(Chrome)浏览器继续执行实际的请求。

实际要求

在处理实际请求时,您必须添加一个CORS标头-否则浏览器不会将响应返回给调用JavaScript代码。相反,请求将在客户端失败。jsonify示例

response = jsonify({"order_id": 123, "status": "shipped"}
response.headers.add("Access-Control-Allow-Origin", "*")
return response

我也为此编写了一个函数。

def _corsify_actual_response(response):
    response.headers.add("Access-Control-Allow-Origin", "*")
    return response

让您退货。

最终代码

from flask import Flask, request, jsonify, make_response
from models import OrderModel

flask_app = Flask(__name__)

@flask_app.route("/api/orders", methods=["POST", "OPTIONS"])
def api_create_order():
    if request.method == "OPTIONS": # CORS preflight
        return _build_cors_prelight_response()
    elif request.method == "POST": # The actual request following the preflight
        order = OrderModel.create(...) # Whatever.
        return _corsify_actual_response(jsonify(order.to_dict()))
    else
        raise RuntimeError("Weird - don't know how to handle method {}".format(request.method))

def _build_cors_prelight_response():
    response = make_response()
    response.headers.add("Access-Control-Allow-Origin", "*")
    response.headers.add('Access-Control-Allow-Headers', "*")
    response.headers.add('Access-Control-Allow-Methods', "*")
    return response

def _corsify_actual_response(response):
    response.headers.add("Access-Control-Allow-Origin", "*")
    return response
尼尔斯B.
source
非常感谢@NielsB。您节省了我的时间。我之前添加了cors配置,但未正确设置。
居纳伊居尔泰金
1
到目前为止,这是在Flask上解决此CORS问题的最佳答案。像魅力一样工作!感谢@Niels
Chandra Kanth
谢谢您的详细解释!!这非常有帮助!
jones-chris
使用许多解决方案,包括CORS和您的解决方案,但是它们都不对aws起作用(在此示例之后aws.amazon.com/getting-started/projects/…),有人知道发生了什么吗?
StereoMatching
这个解决方案非常简单却优雅!谢谢,您真的节省了我的时间。
格里
20

如果要为所有路由启用CORS,则只需安装flask_cors扩展名(pip3 install -U flask_cors)并app像这样包装即可 :CORS(app)

这样做就足够了(我POST通过上传图片的请求对它进行了测试,并且对我有用):

from flask import Flask
from flask_cors import CORS
app = Flask(__name__)
CORS(app) # This will enable CORS for all routes

重要说明:如果您的路线中存在错误,可以说您尝试打印不存在的变量,则会收到与CORS错误相关的消息,而实际上该消息与CORS无关。

比拉·贝格拉吉
source
1
非常感谢!这个简单而通用的解决方案使我可以从React Web代码中调用我的API,而不再需要CORS块。
塞巴斯蒂安·迪亚兹
1
谢谢 !重要提示部分为我节省了大量时间。
加百列
4

尝试以下装饰器:

@app.route('/email/',methods=['POST', 'OPTIONS']) #Added 'Options'
@crossdomain(origin='*')                          #Added
def hello_world():
    name=request.form['name']
    email=request.form['email']
    phone=request.form['phone']
    description=request.form['description']

    mandrill.send_email(
        from_email=email,
        from_name=name,
        to=[{'email': app.config['QOLD_SUPPORT_EMAIL']}],
        text="Phone="+phone+"\n\n"+description
    )

    return '200 OK'

if __name__ == '__main__':
    app.run()

该装饰器将如下创建: 

from datetime import timedelta
from flask import make_response, request, current_app
from functools import update_wrapper


def crossdomain(origin=None, methods=None, headers=None,
                max_age=21600, attach_to_all=True,
                automatic_options=True):

    if methods is not None:
        methods = ', '.join(sorted(x.upper() for x in methods))
    if headers is not None and not isinstance(headers, basestring):
        headers = ', '.join(x.upper() for x in headers)
    if not isinstance(origin, basestring):
        origin = ', '.join(origin)
    if isinstance(max_age, timedelta):
        max_age = max_age.total_seconds()

    def get_methods():
        if methods is not None:
            return methods

        options_resp = current_app.make_default_options_response()
        return options_resp.headers['allow']

    def decorator(f):
        def wrapped_function(*args, **kwargs):
            if automatic_options and request.method == 'OPTIONS':
                resp = current_app.make_default_options_response()
            else:
                resp = make_response(f(*args, **kwargs))
            if not attach_to_all and request.method != 'OPTIONS':
                return resp

            h = resp.headers

            h['Access-Control-Allow-Origin'] = origin
            h['Access-Control-Allow-Methods'] = get_methods()
            h['Access-Control-Max-Age'] = str(max_age)
            if headers is not None:
                h['Access-Control-Allow-Headers'] = headers
            return resp

        f.provide_automatic_options = False
        return update_wrapper(wrapped_function, f)
    return decorator

您也可以签出此包Flask-CORS

纽特
source
还是行不通。我已经尝试过了,并且还使用了Flask-CORS软件包。我认为Flask-CORS是基于此而构建的
-Lopes
2

我的解决方案是围绕app.route的包装: 

def corsapp_route(path, origin=('127.0.0.1',), **options):
    """
    Flask app alias with cors
    :return:
    """

    def inner(func):
        def wrapper(*args, **kwargs):
            if request.method == 'OPTIONS':
                response = make_response()
                response.headers.add("Access-Control-Allow-Origin", ', '.join(origin))
                response.headers.add('Access-Control-Allow-Headers', ', '.join(origin))
                response.headers.add('Access-Control-Allow-Methods', ', '.join(origin))
                return response
            else:
                result = func(*args, **kwargs)
            if 'Access-Control-Allow-Origin' not in result.headers:
                result.headers.add("Access-Control-Allow-Origin", ', '.join(origin))
            return result

        wrapper.__name__ = func.__name__

        if 'methods' in options:
            if 'OPTIONS' in options['methods']:
                return app.route(path, **options)(wrapper)
            else:
                options['methods'].append('OPTIONS')
                return app.route(path, **options)(wrapper)

        return wrapper

    return inner

@corsapp_route('/', methods=['POST'], origin=['*'])
def hello_world():
    ...
尤尔兹
source
2

改善此处描述的解决方案:https : //stackoverflow.com/a/52875875/10299604

有了after_request我们,我们可以处理CORS响应标头,从而避免向端点添加额外的代码:

    ### CORS section
    @app.after_request
    def after_request_func(response):
        origin = request.headers.get('Origin')
        if request.method == 'OPTIONS':
            response = make_response()
            response.headers.add('Access-Control-Allow-Credentials', 'true')
            response.headers.add('Access-Control-Allow-Headers', 'Content-Type')
            response.headers.add('Access-Control-Allow-Headers', 'x-csrf-token')
            response.headers.add('Access-Control-Allow-Methods',
                                'GET, POST, OPTIONS, PUT, PATCH, DELETE')
            if origin:
                response.headers.add('Access-Control-Allow-Origin', origin)
        else:
            response.headers.add('Access-Control-Allow-Credentials', 'true')
            if origin:
                response.headers.add('Access-Control-Allow-Origin', origin)

        return response
    ### end CORS section
弗兰克·埃斯科巴尔
source
0

上面的所有响应都可以,但是,如果应用程序引发了您无法处理的错误(例如按键错误),例如,如果您未正确执行输入验证,您仍然可能会收到CORS错误。您可以添加错误处理程序以捕获所有异常实例,并在服务器响应中添加CORS响应标头

因此,定义一个错误处理程序-errors.py:

from flask import json, make_response, jsonify
from werkzeug.exceptions import HTTPException

# define an error handling function
def init_handler(app):

    # catch every type of exception
    @app.errorhandler(Exception)
    def handle_exception(e):

        #loggit()!          

        # return json response of error
        if isinstance(e, HTTPException):
            response = e.get_response()
            # replace the body with JSON
            response.data = json.dumps({
                "code": e.code,
                "name": e.name,
                "description": e.description,
            })
        else:
            # build response
            response = make_response(jsonify({"message": 'Something went wrong'}), 500)

        # add the CORS header
        response.headers['Access-Control-Allow-Origin'] = '*'
        response.content_type = "application/json"
        return response

然后使用Billal的答案:

from flask import Flask
from flask_cors import CORS

# import error handling file from where you have defined it
from . import errors

app = Flask(__name__)
CORS(app) # This will enable CORS for all routes
errors.init_handler(app) # initialise error handling
埃德里希
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.