django-cors-headers允许从所有来源访问管理站点吗？

Question

我正在使用DRF开发一个Django应用程序，我使用文档中推荐的django- CORS -headers包添加了cors配置。

我将在产品上将源设置为我的客户端。我的问题是，通过这种设置，管理网站是否可以从所有浏览器公开访问？

这是我计划使用的生产设置。

# CORS_ORIGIN_ALLOW_ALL = True

CORS_ORIGIN_WHITELIST = ['client origin']

我不能测试这个自动取款机，因为我还远没有准备好投入生产。

谢谢。

Answer 1

是的，只有当你想要你的网站上的资源在其他域的网页上可用时，这才适用。例如，当您的前端在example.com上运行，而Django后端在api.example.com上运行时，您的浏览器可能会阻止对api.example.com的调用，因此您需要将example.com添加到CORS_ORIGIN_WHIITELIST。

这对在与Django后台相同的域上运行的网页没有任何影响，因此，除非您对资源进行了一些复杂的配置，否则管理站点应该会按预期工作。