Python跨域问题解决方法：CORS配置教程

本文深入剖析了Python生态中FastAPI、Flask、Django及Nginx反向代理场景下CORS跨域问题的典型失效原因与精准解决方案，直击中间件注册顺序错误、凭据模式下通配符禁用、手动加头无法处理OPTIONS预检、反代头透传遗漏等高频痛点，强调跨域本质是浏览器对响应头的校验机制，而非后端逻辑问题——只要厘清Access-Control-Allow-Origin、Credentials、Methods、Headers等关键头的生成时机与传递链路，就能系统性规避90%的CORS报错。

FastAPI 里加 CORS 中间件为什么没生效？

常见现象是浏览器仍报 Access to fetch at '...' from origin 'http://localhost:3000' has been blocked by CORS policy，但后端明明加了 add_middleware(CORSMiddleware)。根本原因往往是中间件注册顺序不对——必须在所有路由和依赖注入之前注册，否则中间件压根不拦截请求。

实操建议：

• 确保 app.add_middleware(CORSMiddleware, ...) 写在 app = FastAPI() 之后、任何 @app.get 或 app.include_router 之前
• 检查是否误把中间件加在了某个子应用（如 APIRouter）上，CORSMiddleware 只对主 app 生效
• 如果用了 Starlette 的 Middleware 列表初始化，注意 CORSMiddleware 要放在靠前位置，它依赖底层响应头写入时机

Flask 用 flask-cors 时 origins=* 不起作用？

这不是 bug，而是安全限制：当响应中包含凭据（如 credentials=True 或前端设置了 fetch(..., { credentials: 'include' })），浏览器明确禁止 Access-Control-Allow-Origin: *。此时必须显式列出允许的源，哪怕只是开发环境的 http://localhost:3000。

实操建议：

• 开发阶段别偷懒写 origins="*"，直接写 origins=["http://localhost:3000"]
• 若需多源，用列表而非通配符：origins=["https://a.com", "https://b.net"]，flask-cors 支持匹配模式如 "https://*.example.com"，但需确认版本 ≥3.0.10
• 检查是否漏了 supports_credentials=True 参数——它会自动加 Access-Control-Allow-Credentials: true，但要求 origins 不能为 *

Django REST Framework 怎么手动加 CORS 响应头？

不推荐手动加，因为容易漏掉预检（OPTIONS）请求、Vary 头、缓存控制等细节。但真要临时调试或嵌入旧项目，得绕过中间件直接操作 response 对象。

实操建议：

• 在视图函数末尾加：response["Access-Control-Allow-Origin"] = "http://localhost:3000"，但仅对当前响应生效
• 务必同步设置 response["Access-Control-Allow-Methods"] 和 response["Access-Control-Allow-Headers"]，否则预检失败
• 如果视图返回的是 Response（DRF），用 response.headers["Access-Control-Allow-Origin"] = ...；如果是 Django 原生 HttpResponse，直接赋值字典键
• 注意：手动加头无法处理 OPTIONS 请求，遇到预检失败仍需配中间件或路由级处理

为什么 Nginx 反向代理后 CORS 还报错？

典型情况是前端直连 Nginx（如 http://api.example.com），Nginx 把请求转发给后端 Python 服务（如 http://127.0.0.1:8000），但后端返回的 Access-Control-Allow-Origin 是 http://api.example.com，而浏览器看到的是 Nginx 的响应头——如果 Nginx 没透传或覆盖这些头，就失效。

实操建议：

• 在 Nginx 的 location 块里加：add_header 'Access-Control-Allow-Origin' 'http://api.example.com' always;（always 确保对错误响应也生效）
• 必须透传后端的头：proxy_pass_request_headers on;（默认就是 on，但有人会关）
• 预检请求需要显式响应：if ($request_method = 'OPTIONS') { add_header Access-Control-Allow-Origin 'http://api.example.com'; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'Content-Type, Authorization'; add_header Access-Control-Allow-Credentials 'true'; return 204; }

到这里，我们也就讲完了《Python跨域问题解决方法：CORS配置教程》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！