我使用Django作为提供GraphQL API的后端。我正在使用Django的Cross Site Request Forgery protection (CSRF protection)和django-cors-header内置支持来启用Cross-origin resource sharing (CORS)机制。为了调试API,我使用了Altair。我可以为altair定义一个固定的端口号吗,可以将altair视为Django settings.py文件(CSRF_TRUSTED_ORIGINS)中的可信来源。
我是Altair GraphQL Client的维护者。根据您选择使用Altair的方式(使用浏览器扩展程序或使用桌面应用程序),可能会超过CORS保护。默认情况下,浏览器扩展不遵循CORS保护,并且可以使用相同的原始策略发出请求。如果您使用的是桌面应用程序,则可以设置Origin标头,以使请求显示为来自相同的源。
关于基于CSRF令牌的保护,您可以用来解决它的技术之一就是使用pre request scripts,如本文所述:https://sirmuel.design/pre-requests-now-available-in-altair-graphql-client-c3b28892059c。