用go实现cors中间件

目录

一、概述

二、简单请求和预检请求

简单请求

预检请求

三、使用go的gin框架实现cors配置

1、安装

2、函数


一、概述

        CORS(Cross-Origin Resource Sharing)是一种浏览器安全机制,用于控制在Web应用程序中不同源(Origin)之间的资源共享。一个源是由协议(例如http或https)、主机(例如 www.example.com)、以及端口(例如80或443)组成的组合。CORS允许服务器定义哪些源可以访问其资源,以及哪些HTTP方法和头部可以在跨源请求中使用。

要点:

  1. 同源策略(Same-Origin Policy):Web浏览器实施了同源策略,它限制了一个页面中加载的资源只能来自相同的源,以防止而已站点获取用户的敏感信息。这意味着默认情况下,跨域请求是被浏览器禁止的。
  2. 跨源HTTP请求:当一个Web页面需要从不同源的服务器获取数据时,例如通过AJAX请求或嵌入其他站点的资源(如字体、图片或脚本),就会设计到跨源HTTP请求。
  3. CORS解决跨域问题: CORS是一种机制,允许服务器在响应中添加HTTP标头来指示浏览器允许跨域请求。这些标头包括”Access-Control-Allow-Origin“、”Access-Control-Allow-Methods“、”Access-Control-Allow-Headers“等
  4. 简单请求和预检请求:浏览器将跨域HTTP请求分为两种类型:简单请求(Simple Request)和预检请求(Preflight Request)。简单请求就是常见的GET、POST请求,而预检请求时一种用于检查服务器是否支持某些请求的OPTION请求。
  5. 服务器配置:CORS的服务器配置通常在服务器端完成。服务器需要响应OPTIONS请求并在响应头中包含CORS标头来指定允许的来源、HTTP方法和头部。服务器还可以选择性地要求携带凭据(credentials)
  6. 浏览器行为:浏览器在发送跨域请求时会自动附加Origin头,然后根据服务器的响应判断是否允许访问资源。如果CORS设置不正确,浏览器会阻止页面访问响应的数据。

二、简单请求和预检请求

简单请求

1、判定条件

需要同时满足以下条件,浏览器会认为它是一个简单请求

  • 请求方法属于其中一种:GET、POST、HEAD
  • 请求包仅包含安全的字段,常见字段:Accept、Accept-Language、Content-Language、Content-Type、DPR、Downlink、Save-Data、Viewport-Width、Width
  • 请求头如果包含Content-Type,仅限如下值:text/plain、multipart/form-data、application/x-www-form-urlencoded

2、简单请求交互

①当浏览器判某个跨域请求时简单请求时,会在请求头中自动添加Origin字段

GET /cors HTTP/1.1
Host: example.com
Connection: keep-alive
...
Referer: http://local.com/index.html
Origin: http://local.com //Origin字段会告诉服务器,是哪个源地址在跨域请求

②服务器响应头中应包含Access-Control-Allow-Origin ,当服务器收到请求后,如果允许改请求跨域访问,需要在响应头中添加Access-Control-Allow-Origin字段

HTTP/1.1 200 OK
Date: Tue, 21 Jun 2023 08:03:35 GMT
...
Access-Control-Allow-Origin: http://local.com
...消息体中的数据

当浏览器看到服务器允许自己访问后,于是,它就把响应顺利的交给js

预检请求

1、对于预检请求,请求步骤如下:

  • 浏览器发送预检请求,询问服务器是否允许
  • 服务器响应是否允许
  • 浏览器发送真实请求
  • 服务器完成真实的响应

2、步骤请求演示

要发送的请求包:

POST /cors HTTP/1.1

Host: example.com

Connection: keep-alive ...

Referer: http://local.com/index.html

Origin: http://local.com

{"name": "admin", "age": 20}

①浏览器发送预检请求

OPTIONS /cors HTTP/1.1
Host: example.com
...
Origin: http://local.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: a, b, content-type

ps:这并非想要发出的真实请求,请求中不包含响应头和也没有消息体。

预检请求特征:

请求方法为OPTIONS 没有请求体

  • 请求头中包含 Origin:请求的源,和简单请求的含义一致
  • Access-Control-Request-Method:后续的真实请求将使用的请求方法
  • Access-Control-Request-Headers:后续的真实请求会改动的请求头

②服务器允许

服务器收到预检请求后,可以检查预检请求中包含的信息,如果允许这样的请求,需要响应下面的消息格式

HTTP/1.1 200 OK
...
Access-Control-Allow-Origin: http://local.com
Access-Control-Allow-Methods: POST
Access-Control-Allow-Headers: a, b, content-type
Access-Control-Max-Age: 86400
...

对于预检请求,不需要响应任何的消息体,只需要在响应头中添加: 

Access-Control-Allow-Origin:和简单请求一样,表示允许的源 Access-Control-Allow-Methods:表示允许的后续真实的请求方法 Access-Control-Allow-Headers:表示允许改动的请求头 Access-Control-Max-Age:告诉浏览器,多少秒内,对于同样的请求源、方法、头,都不需要再发送预检请求了

③浏览器发送真实请求

预检被服务器允许后,浏览器就会发送真实请求了,上面的代码会发送下面的请求数据

POST /cors HTTP/1.1Host: example.comConnection: keep-alive ...Referer: http://local.com/index.htmlOrigin: http://local.com{"name": "admin", "age": 20}

④服务器响应真实请求

HTTP/1.1 200 OK
Date: Tue, 21 Jun 2023 08:03:35 GMT
...
Access-Control-Allow-Origin: http://local.com
...添加用户成功

三、使用go的gin框架实现cors配置

使用go的gin框架的话,说白了就是添加一个中间件,Gin官方提供CORS中间件,可以很方便的使用 cors解决跨域问题。

1、安装

使用命令安装该中间件

go get github.com/gin-contrib/cors

2、函数

cors中间件提供三个函数,代表三种使用方式,分别是NEWDefaultConfigDefault

  • NEW方式

可以接收 CORS 中间件的配置项,可通过自定义配置项,满足任意需要跨域的场景。

示例:
router.Use(cors.New(cors.Config{AllowOrigins:     []string{"https://foo.com"},AllowMethods:     []string{"PUT", "PATCH"},AllowHeaders:     []string{"Origin"},ExposeHeaders:    []string{"Content-Length"},AllowCredentials: true,AllowOriginFunc: func(origin string) bool {return origin == "https://github.com"},MaxAge: 12 * time.Hour,}))
//New 函数接收配置项,返回一个用户自定义的 CORS 中间件,绑定到路由中。

配置项说明:

  • AllowAllOrigins bool 允许所有请求源。
  • AllowOrigins []string 指定允许请求源的列表,如果列表中存在 *,则允许所有请求源,默认值是 []
  • AllowOriginFunc func(origin string) bool 接收参数 origin,函数体中的验证逻辑返回是否允许跨域请求。该配置项优先级高于 AllowOrigins []string,如果设置该配置项,AllowOrigins []string 配置项的设置被忽略。
  • AllowMethods []string 允许的请求方式,默认值是 GETPOSTPUTPATCHDELETEHEAD,和 OPTIONS
  • AllowHeaders []string 用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 请求头。
  • AllowCredentials bool 表示请求附带请求凭据时是否响应请求,例如 cookieHTTP authentication 或客户端 SSL 证书。
  • ExposeHeaders []string 可以在响应中显示的请求头。
  • MaxAge time.Duration 指示预请求的结果能被缓存多久。
  • AllowWildcard bool 添加请求源是否允许使用通配符,例如 http://some-domain/*https://api.http://some.*.subdomain.com
  • AllowBrowserExtensions bool 允许使用常用的浏览器的扩展模式。
  • AllowWebSockets bool 允许使用 WebSocket 协议。
  • AllowFiles bool 允许使用 file:// 协议。
  • DefaultConfig方式

默认设置一些通用配置项,我们可以直接使用,也可以在此基础上添加我们需要的其他配置项。

func DefaultConfig() Config {return Config{AllowMethods:     []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},AllowHeaders:     []string{"Origin", "Content-Length", "Content-Type"},AllowCredentials: false,MaxAge:           12 * time.Hour,}
}
  • Default方式

DefaultConfig 方式的基础上,设置 AllowAllOrigins 选项为 true,因为 DefaultConfig 方式默认不允许任意请求源,所以需要单独设置 AllowAllOrigins 选项为 true

func Default() gin.HandlerFunc {config := DefaultConfig()config.AllowAllOrigins = truereturn New(config)
}

3、某段配置代码分析

//设置cors中间件
func Cors() gin.HandlerFunc {return func(c *gin.Context) {method := c.Request.Method  //获取请求包的http请求方法origin := c.Request.Header.Get("Origin") //获取请求包的head头的Origin参数值var headerkeys []stringfor k := range c.Request.Header {headerkeys = append(headerkeys, k)}headerStr := strings.Join(headerkeys, ", ") //将请求包中head头部分的参数用","连接成字符串//检查请求头不为空if headerStr != "" {//如果请求头不为空,将请求头的键名添加到一个字符串中,以便在设置响应头时包含这些键名。headerStr = fmt.Sprintf("access-control-allow-origin, access-control-allow-headers,%s", headerStr)} else {headerStr = "access-control-allow-origin, access-control-allow-headers"}//检查请求头中origin是否为空if origin != "" {//设置响应头中的"Access-Control-Allow-Origin"字段,允许任何域名访问资源(这是一个简单的CORS策略,实际应用中可能需要更严格的控制)。c.Writer.Header().Set("Access-Control-Allow-Origin", "*")c.Header("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE, UPDATE")c.Header("Access-Control-Allow-Headers", "Authorization, Content-Length, X-CSRF-Token, Token,session,X_Requested_With,Accept, Origin, Host, Connection, Accept-Encoding, Accept-Language,DNT, X-CustomHeader, Keep-Alive, User-Agent, X-Requested-With, If-Modified-Since, Cache-Control, Content-Type, Pragma")c.Header("Access-Control-Expose-Headers", "Content-Length, Access-Control-Allow-Origin, Access-Control-Allow-Headers,Cache-Control,Content-Language,Content-Type,Expires,Last-Modified,Pragma,FooBar") // 跨域关键设置 让浏览器可以解析c.Header("Access-Control-Max-Age", "172800")                                                                                                                                                           // 缓存请求信息 单位为秒c.Header("Access-Control-Allow-Credentials", "false")                                                                                                                                                  //  跨域请求是否需要带cookie信息 默认设置为truec.Set("content-type", "application/json")                                                                                                                                                              // 设置返回格式是json}//放行所有OPTIONS方法if method == "OPTIONS" {c.JSON(http.StatusOK, "Options Request!")}}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/86083.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

搭建Docker开发环境_Linux

环境搭建 文章目录 环境搭建[toc]DockerDocker运行权限Docker加速Docker容器创建 Python版本切换版本工具RepoGit 开发SDK代码拉取在线离线(推荐) Debian安装软件包编译打包 问题技巧 Docker sudo apt install docker.ioDocker运行权限 #添加docker group sudo groupadd doc…

【深度学习】图像去噪(2)——常见网络学习

【深度学习】图像去噪 是在 【深度学习】计算机视觉 系列文章的基础上,再次针对深度学习(尤其是图像去噪方面)的基础知识有更深入学习和巩固。 1 DnCNN 1.1 网络结构 1.1.1 残差学习 1.1.2 Batch Normalization (BN) 1.1.2.1 背景和目标…

如何使用固态硬盘+硬盘盒子+U盘创造移动双系统

本文背景 这学期上了一节鸟水课《大数据实践》,老师要求扩展硬盘盒,以部署大数据工具进行 机器挖掘等大数据领域工作 参考视频链接:无需启动盘,用虚拟机将ubuntu安装到移动硬盘上_哔哩哔哩_bilibili 项目使用设备 1.绿联&#…

软件工程之总体设计

总体设计是软件工程中的一个重要阶段,它关注整个系统的结构和组织,旨在将系统需求转化为可执行的软件解决方案。总体设计决定了系统的架构、模块划分、功能组织以及数据流和控制流等关键方面。 可行性研究 具体方面:经济可行性、技术可行性…

RabbitMQ的工作模式——WorkQueues

1.工作队列模式 生产者代码 public class Producer_WorkQueues1 {public static void main(String[] args) throws IOException, TimeoutException {//1.创建连接工厂ConnectionFactory factory new ConnectionFactory();//2.设置参数factory.setHost("172.16.98.133&qu…

81《乡村振兴战略下传统村落文化旅游设计》许少辉瑞博士生辉少许——2023学生开学季许多少年辉光三农

81《乡村振兴战略下传统村落文化旅游设计》许少辉瑞博士生辉少许——2023学生开学季许多少年辉光三农

ESD门禁闸机的用途及优点

ESD门禁闸机是一种专门用于防止静电干扰的门禁设备,其主要用途包括: 防止静电干扰:ESD门禁闸机可以有效地防止静电干扰,保护电子元器件、电路板等敏感设备不受静电破坏。 控制人员进出:ESD门禁闸机可以通过身份验证等…

“华为杯”研究生数学建模竞赛2019年-【华为杯】D题:汽车行驶工况构建

目录 摘 要: 一、问题重述 1.1 问题背景 1.2 问题重述 二、问题分析

AUTOSAR汽车电子嵌入式编程精讲300篇-车载网络 CAN 总线报文异常检测

目录 前言 国内外研究现状 车载网络 CAN 总线威胁分析和报文异常检测研究

【力扣】278. 第一个错误的版本

题目描述 你是产品经理,目前正在带领一个团队开发新的产品。不幸的是,你的产品的最新版本没有通过质量检测。由于每个版本都是基于之前的版本开发的,所以错误的版本之后的所有版本都是错的。 假设你有 n 个版本 [1, 2, ..., n],…

AWS入列CNCF基金会

7月27日,IT之家曾经报道,微软加入Linux旗下CNCF基金会,在这之后不到一个月的今天,亚马逊AWS也宣布,以铂金身份加入此基金会。 CNCF,全称Cloud Native Computing Fundation,该基金会旨在使得容器…

windows上安装好了pip,并正确配置了路径后,特别地使用

尝试使用 Python -m pip:有时,在某些 Python 安装中,pip 可能需要通过 python -m pip 来执行。尝试运行以下命令: python -m pip install requests

Netty简介及简单客户端/服务端示例代码

什么是Netty? Netty是一个NIO客户机-服务器框架,它支持快速而容易地开发网络应用程序,如协议服务器和客户机。它大大简化和简化了网络编程,如TCP和UDP套接字服务器。 “快速简单”并不意味着生成的应用程序将遭受可维护性或性能问…

【再识C进阶3(上)】详细地认识字符串函数、进行模拟字符串函数以及拓展内容

小编在写这篇博客时,经过了九一八,回想起了祖国曾经的伤疤,勿忘国耻,振兴中华!加油,逐梦少年! 前言 💓作者简介: 加油,旭杏,目前大二,…

基于AVR128单片机智能电风扇控制系统

一、系统方案 模拟的电风扇的工作状态有3种:自然风、常风及睡眠风。使用三个按键S1-S3设置自然风、常风及睡眠风。 再使用两个按键S4和S5,S4用于定时电风扇定时时间长短的设置,每按一次S4键,定时时间增加10秒,最长60秒…

(一)详解策略模式

目录 必备背景知识 一.使用场景 二.核心逻辑 三.举例子 总结 必备背景知识 针对接口编程,而不是针对实现编程(修改功能更加容易,我们只需要对接口作出修改即可)优先使用组合而不是继承(继承会导致后来的子类都具…

mysql优化之索引

索引官方定义:索引是帮助mysql高效获取数据的数据结构。 索引的目的在于提高查询效率,可以类比字典。 可以简单理解为:排好序的快速查找数据结构 在数据之外,数据库系统还维护着满足特定查找算法的数据结构,这种数据…

html和css相关操作

html第一个网页 <!DOCTYPE html> <!--html文档声明&#xff0c;声明此文档是一个html5的文档--> <html> <!--html文档开头标签--><head><!--html文档的设置标签&#xff0c;文档的设置及资源的引用都写在这个标签中--><meta charset&q…

[Pytorch]语义分割任务分类的实现

文章目录 [Pytorch]语义分割任务分类的实现 [Pytorch]语义分割任务分类的实现 假如我们定义了一个网络用于语义分割任务&#xff0c;这个网络简称为model() 语义分割任务要做的是&#xff1a; 对于一个图片输入input&#xff0c;大小为&#xff08;B&#xff0c;C&#xff0c…

如何快速走出网站沙盒期(关于优化百度SEO提升排名)

网站沙盒期是指新建立的网站在百度搜索引擎中无法获得好的排名&#xff0c;甚至被完全忽略的现象。这个现象往往发生在新建立的网站上&#xff0c;因为百度需要时间来评估网站的质量和内容。蘑菇号www.mooogu.cn 为了快速走出网站沙盒期&#xff0c;需要优化百度SEO。以下是5个…