浏览器默认遵循X-Frame-Options协议头,它表明一个资源是否允许加载到frame或者iframe中。如果响应包含值为SAMEORIGIN的协议头,浏览器会在frame中加载同源请求的资源。如果协议头设置为DENY,浏览器会在加载frame时屏蔽所有资源,无论请求来自于哪个站点。
Django中提供了一些简单的方法来在你站点的响应中包含这个协议头:
1,一个简单的中间件,在所有响应中设置协议头。如果要为你的站点中所有的响应设置相同的X-Frame-Options值,就可以将项目中settings.py文件中的添加中间件:‘django.middleware.clickjacking.XFrameOptionsMiddleware’设置为‘MIDDLEWARE’:
MIDDLEWARE = [ 'django.middleware.clickjacking.XFrameOptionsMiddleware', ]
在开启该中间件之后,默认会为任何开放的HttpResponse设置X-Frame-Options协议头为 DENY,
如果你想要设置为SAMEOGIGIN,
可以在settings.py文件中设置:
X_FRAME_OPTIONS = 'SAMEORIGIN'
但是这样的话会使该站点所有的视图都使用X-Frame-Options协议头,对于某些视图函数,我们可以使用特定的装饰器告诉中间件不要设置协议头
2. 引用装饰器xframe_options_exempt,告诉中间件访问该视图时不要设置协议头:
from django.views.decorators.clickjacking import xframe_options_exempt @xframe_options_exempt def get_ueditor_controller(request):
3.引用装饰器xframe_options_deny, 告诉中间件访问该视图时屏蔽在加载frame时的所有资源:
from django.http import HttpResponse from django.views.decorators.clickjacking import xframe_options_deny @xframe_options_deny def get_ueditor_controller(request):