问题

对于附带身份凭证的请求 服务器不得设置origin为*，默认的ajax请求等，在跨域访问时不携带身份凭证，可以设置withCredentials = true这样会发送cookies，这时，服务器也要对应响应Access-Control-Allow-Credentials: true

对于一般的跨域请求是通过头部的auth来确认用户身份的，不使用cookie，所以请求时应保证不携带cookie，这时服务器也不用管身份凭证cookie

django-cors-headers

配置

CORS_ORIGIN_ALLOW_ALL True
允许所有域名

CORS_ORIGIN_WHITELIST
允许的域名列表

CORS_ORIGIN_REGEX_WHITELIST
正则匹配域名

CORS_URLS_REGEX = r'^.*' 只能访问api开头的URL

CORS_ALLOW_METHODS
允许的请求方法列表

CORS_ALLOW_HEADERS
在请求时可携带的头部

CORS_EXPOSE_HEADERS
响应的头部 默认么有

CORS_PREFLIGHT_MAX_AGE
对于预检请求的过期时间 默认一天之内不用再预检

CORS_ALLOW_CREDENTIALS
允许在跨域请求中携带cookie，默认不允许，带cookie就可以直接通过session什么的直接进行认证，不需要额外的认证头部了，但对于django是设置了csrf校验的，见下方对于CSRF的（django2之后带了SESSION_COOKIE_SAMESITE的设置，默认为Lax这样阻止了session cookie）

CSRF相关

如果用了cookie认证那么会有CSRF的校验，但是django并不能识别你的相关设置，所以要设置django中的

CORS_ORIGIN_WHITELIST = [
    'http://read.only.com',
    'http://change.allowed.com',
]
CSRF_TRUSTED_ORIGINS = [
    'change.allowed.com',
]

另有CORS_REPLACE_HTTPS_REFERER，因为上述的CSRF_TRUSTED_ORIGINS是在Djano1.9之后引入的，之前版本的用户需要一个替代方案，这个设置会修改请求的Referer头部来绕过django的CSRF校验，需要增加一个corsheaders.middleware.CorsPostCsrfMiddleware，放在django.middleware.csrf.CsrfViewMiddleware之后，

代码