当前位置：首页 > news >正文

在Flask中实现跨域请求（CORS）

news 2026/2/10 3:09:26

在Flask中实现跨域请求（CORS，Cross-Origin Resource Sharing）主要涉及到对Flask应用的配置，以允许来自不同源的请求访问服务器上的资源。以下是在Flask中实现CORS的详细步骤和方法：

一、理解CORS

CORS是一种机制，它使用额外的HTTP头部来告诉浏览器，让运行在一个origin（域）上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时，资源会发起一个跨域HTTP请求。出于安全原因，浏览器会限制从脚本内发起的跨域HTTP请求。CORS机制允许服务器指定哪些外部网站可以访问其资源，从而安全地实现跨域资源共享。

二、安装Flask-CORS扩展

Flask-CORS是一个Flask扩展，用于处理跨源资源共享（CORS），使得跨域请求变得简单。首先，你需要安装这个扩展。通过pip安装Flask-CORS：

pip install flask-cors

三、配置Flask-CORS

在Flask应用中配置Flask-CORS有几种方式，可以根据你的需求选择适合的配置方法。

1. 使用@cross_origin装饰器

@cross_origin装饰器可以应用于Flask视图函数上，允许对单个路由进行CORS配置。例如，允许所有域的GET和POST请求访问/api/data接口：

from flask import Flask, jsonify  
from flask_cors import cross_origin  app = Flask(__name__)  @app.route('/api/data', methods=['GET', 'POST'])  
@cross_origin(origin='*')  # 允许所有域的请求  
def get_data():  return jsonify({'data': 'Hello, CORS!'})  if __name__ == '__main__':  app.run(debug=True)

在这个例子中，@cross_origin(origin='*')装饰器表示允许所有域的请求访问/api/data接口。你也可以指定特定的域，如origin='http://example.com'。

2. 全局配置CORS

如果你想要为整个Flask应用配置CORS，可以在创建Flask应用实例后，使用CORS类进行全局配置。例如，允许所有域的请求访问所有路由：

from flask import Flask  
from flask_cors import CORS  app = Flask(__name__)  
CORS(app, resources=r'/*')  # 允许所有路由的跨域请求  @app.route('/api/data')  
def get_data():  return jsonify({'data': 'Hello, CORS with global settings!'})  if __name__ == '__main__':  app.run(debug=True)

在这个例子中，CORS(app, resources=r'/*')表示允许对所有路由进行跨域请求。resources参数是一个字典或正则表达式字符串，用于指定哪些路由需要CORS支持。

3. 对特定路由进行CORS配置

如果你只想对特定路由进行CORS配置，可以在resources参数中指定这些路由。例如：

CORS(app, resources={r"/api/*": {"origins": "*"}})

这表示允许所有域的请求访问以/api/开头的所有路由。

四、CORS参数说明

在配置CORS时，可以使用多个参数来进一步控制跨域请求的行为。以下是一些常用的参数：

origins：允许哪些源（域名、URI模式或正则表达式）进行跨域请求。如果设置为'*'，则允许所有源的请求。
methods：允许哪些HTTP方法（如GET、POST）进行跨域请求。默认为['OPTIONS', 'HEAD', 'GET', 'POST', 'PUT', 'PATCH', 'DELETE']。
allow_headers：允许哪些请求头进行跨域请求。默认为['*']，表示允许所有请求头。
expose_headers：允许哪些响应头暴露给前端JavaScript代码。默认为[]，表示不暴露任何响应头。
supports_credentials：是否允许携带凭据信息（如Cookies和HTTP认证信息）进行跨域请求。默认为False。如果设置为True，则需要确保前端在发送请求时也设置了withCredentials为true。

五、注意事项

当使用CORS时，需要注意安全问题。特别是当允许来自所有域的请求时（origin='*'），这可能会使你的应用面临跨站请求伪造（CSRF）等安全风险。因此，建议尽可能指定允许的源。
在前端发送跨域请求时，如果服务器配置了CORS并且允许携带凭据信息（supports_credentials=True），则需要在请求中设置withCredentials为true。这通常在使用XMLHttpRequest或fetch等API时进行设置。
CORS配置通常需要在服务器端进行，但也有一些前端解决方案（如JSONP）可以用于跨域请求，但JSONP只支持GET请求，并且存在安全风险，因此不推荐使用。

通过以上步骤和方法，你可以在Flask应用中实现CORS，从而允许来自不同源的请求访问你的服务器资源。

在Flask中实现跨域请求（CORS）

一、理解CORS

二、安装Flask-CORS扩展

三、配置Flask-CORS

1. 使用@cross_origin装饰器

2. 全局配置CORS

3. 对特定路由进行CORS配置

四、CORS参数说明

五、注意事项

相关文章：

在Flask中实现跨域请求（CORS）

在桌面商业分析应用程序中启用高级 Web UI

CentOS Stream 8 通过 Packstack 安装开源 OpenStack（V版）

OpenSSL工具验证RSA证书

架构师白话分布式系统

C++ 中 vector 的常用功能介绍

[QT] QT事件与事件重写

c# 视觉识别图片文字二维码

UEFI——访问PCI/PCIE设备（二）

决策树算法的介绍与应用

杰发科技Bootloader（3）—— 基于7801的APP切到Boot

Leetcode面试经典150题-138.随机链表的复制

freemarker模板学习笔记

高亚科技与广东海悟携手，打造全流程电子竞标管理平台！

240908-结合DBGPT与Ollama实现RAG本地知识检索增强

AMD ThinkSystem服务器上的 Linux 和 C 状态设置 - Lenovo ThinkSystem

Redis过期删除和缓存淘汰

Golang | Leetcode Golang题解之第401题二进制手表

TON智能合约stdlib_ext库：扩展功能一览

LabVIEW开发FPGA方法与FIFO数据丢失处理

Lombok 的 @Data 注解失效，未生成 getter/setter 方法引发的HTTP 406 错误

React hook之useRef

.Net框架，除了EF还有很多很多......

FFmpeg 低延迟同屏方案

循环冗余码校验CRC码算法步骤+详细实例计算

《从零掌握MIPI CSI-2: 协议精解与FPGA摄像头开发实战》-- CSI-2 协议详细解析 (一）

UDP(Echoserver)

在 Nginx Stream 层“改写”MQTT ngx_stream_mqtt_filter_module

跨链模式：多链互操作架构与性能扩展方案

高防服务器能够抵御哪些网络攻击呢？