Flask项目中实现CORS中间件的正确方式

在Web开发中，跨域资源共享(CORS)是一个常见需求。本文将探讨在Flask项目中实现CORS中间件的几种方法，分析常见问题，并提供最佳实践方案。

问题背景

开发者尝试在Flask应用中实现自定义CORS处理，不使用第三方库如flask-cors。初始实现使用了Flask的before_request和after_request钩子，但发现OPTIONS预检请求没有被正确处理，而是被路由到了实际的视图函数。

初始方案分析

最初的实现方案包含一个CORSMiddleware类，通过注册before_request和after_request钩子来处理CORS头信息：

class CORSMiddleware:
    def before_request(self):
        if request.method == "OPTIONS":
            response = jsonify({"status": "ok"})
            return self.process_response(response)

    def after_request(self, response):
        return self.process_response(response)
    
    def process_response(self, response):
        # 添加CORS头信息
        pass
    
    def register(self, app: Flask):
        app.before_request(self.before_request)
        app.after_request(self.after_request)

这个方案的问题在于，当OPTIONS请求到达时，before_request钩子确实会拦截并返回响应，但Flask的路由系统仍然会继续处理请求，导致视图函数被调用。

解决方案比较

1. 视图函数内处理

最直接的方式是在每个需要CORS的视图函数中显式处理OPTIONS请求：

@user_blueprint.route("/signup", methods=["POST", "OPTIONS"])
def create_user_handler():
    if request.method == "OPTIONS":
        response = jsonify({"status": "ok"})
        return add_cors_headers(response)
    return {"message": "registered"}

这种方法简单直接，但违反了DRY原则，需要在每个端点重复相同代码。

2. Werkzeug中间件方案

更底层的解决方案是使用Werkzeug中间件：

class CORSMiddleware:
    def __init__(self, app):
        self.app = app

    def __call__(self, environ, start_response):
        request_ = Request(environ)
        if request_.method == "OPTIONS":
            response = Response(status=200)
            return self.process_response(response)(environ, start_response)
        
        # 处理普通请求
        pass

这种方案能正确拦截OPTIONS请求，但需要直接操作WSGI环境，代码较为底层。

3. 改进的Flask中间件方案

结合Flask的特性，我们可以改进最初的方案：

class CORSMiddleware:
    def __init__(self, app=None):
        self.app = app
        if app:
            self.init_app(app)

    def init_app(self, app):
        @app.before_request
        def before_request():
            if request.method == "OPTIONS":
                resp = current_app.make_response()
                return self.process_response(resp)

        @app.after_request
        def after_request(response):
            return self.process_response(response)

关键改进点：

1. 使用Flask的current_app.make_response()创建响应对象
2. 确保before_request返回的响应能完全终止请求处理链

最佳实践建议

1. 优先考虑flask-cors：对于大多数项目，使用成熟的flask-cors库是最佳选择，它已经处理了各种边缘情况。

2. 自定义中间件的注意事项：

   • 确保OPTIONS请求被完全拦截，不再进入视图函数
   • 正确处理各种HTTP方法和头信息
   • 考虑性能影响，避免不必要的处理

3. 测试要点：

   • 预检请求(OPTIONS)是否返回正确响应
   • 实际请求是否携带正确的CORS头
   • 复杂请求(如带认证头)是否被正确处理

实现示例

以下是经过优化的完整实现示例：

from flask import Flask, request, current_app, jsonify

class CORSHandler:
    """处理CORS的Flask扩展"""
    
    def __init__(self, app=None, **kwargs):
        self._options = kwargs
        if app is not None:
            self.init_app(app)

    def init_app(self, app):
        @app.before_request
        def handle_preflight():
            if request.method != "OPTIONS":
                return
            
            # 创建空响应
            resp = current_app.make_response()
            # 添加CORS头
            self._set_cors_headers(resp)
            return resp

        @app.after_request
        def set_cors_headers(response):
            if request.method == "OPTIONS":
                return response
            self._set_cors_headers(response)
            return response

    def _set_cors_headers(self, response):
        """设置CORS头信息"""
        response.headers["Access-Control-Allow-Origin"] = "*"
        response.headers["Access-Control-Allow-Headers"] = "Content-Type, Authorization"
        response.headers["Access-Control-Allow-Methods"] = "GET, POST, OPTIONS, DELETE, PUT"
        response.headers["Access-Control-Max-Age"] = "86400"  # 预检请求缓存时间

这个实现正确处理了预检请求和实际请求，同时保持了代码的简洁性。开发者可以根据需要调整允许的来源、方法和头信息。

总结

在Flask中实现自定义CORS处理需要注意请求处理流程的细节。虽然可以使用多种方法实现，但理解Flask的请求-响应周期和中间件机制是关键。对于生产环境，建议评估flask-cors是否满足需求；如需自定义实现，应确保全面测试各种CORS场景。