CORS 策略拒绝访问：预检请求被访问控制检查拦截

IT行业相对于一般传统行业，发展更新速度更快，一旦停止了学习，很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习，精进自己的技术，尤其是初学者。今天golang学习网给大家整理了《CORS 策略拒绝访问：预检请求被访问控制检查拦截》，聊聊，我们一起来看看吧！

我已经创建了旅行服务器。它工作正常，我们能够通过 insomnia 发出 post 请求，但是当我们在前端通过 axios 发出 post 请求时，它会发送一个错误：

has been blocked by cors policy: response to preflight request doesn’t pass access control check: it does not have http ok status.

我们对 axios 的请求：

let config = {
headers: {
  "content-type": "application/json",
  'access-control-allow-origin': '*',
  }
}

let data = {
  "id": 4
 }

 axios.post('http://196.121.147.69:9777/twirp/route.froute/getlists', data, config)
   .then((res) => {
      console.log(res)
     })
    .catch((err) => {
      console.log(err)
   });
}

我的go文件：

func setupResponse(w *http.ResponseWriter, req *http.Request) {
    (*w).Header().Set("Access-Control-Allow-Origin", "*")
    (*w).Header().Set("Access-Control-Allow-Methods", "POST,GET,OPTIONS, PUT, DELETE")

    (*w).Header().Set("Access-Control-Allow-Headers", "Accept, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization")
}


func WithUserAgent(base http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {

    ctx := r.Context()
    ua := r.Header.Get("Jwt")
    ctx = context.WithValue(ctx, "jwt", ua)

    r = r.WithContext(ctx)

    setupResponse(&w, r)
     base.ServeHTTP(w, r)
  })
}

const (
    host     = "localhost"
    port     = 5432
    user     = "postgres"
    password = "postgres"
    dbname   = "postgres"
)

func main() {

    psqlInfo := fmt.Sprintf("host=%s port=%d user=%s "+
           "password=%s dbname=%s sslmode=disable",
               host, port, user, password, dbname)

    server := &s.Server{psqlInfo}

    twirpHandler := p.NewFinanceServiceServer(server, nil)

    wrap := WithUserAgent(twirpHandler)
      log.Fatalln(http.ListenAndServe(":9707", wrap))
}

正如我之前在 insomnia 上所说，它效果很好，但是当我们发出 axios post 请求时，在浏览器的控制台上会出现以下内容：

已被 cors 策略阻止：对预检请求的响应未通过访问控制检查：它没有 http 正常状态。

解决方案

我相信这是最简单的例子：

header := w.header()
header.add("access-control-allow-origin", "*")
header.add("access-control-allow-methods", "delete, post, get, options")
header.add("access-control-allow-headers", "content-type, authorization, x-requested-with")

您还可以为 access-control-max-age 添加标头，当然您可以允许您希望的任何标头和方法。

最后您想要响应初始请求：

if r.method == "options" {
    w.writeheader(http.statusok)
    return
}

编辑（2019 年 6 月）：我们现在使用 gorilla 进行此操作。他们的东西得到了更积极的维护，而且他们这样做已经很长时间了。保留旧链接的链接，以防万一。

以下旧中间件推荐： 当然，为此使用中间件可能会更容易。我认为我没有使用过它，但强烈推荐 this one。

这个答案解释了幕后发生的事情，以及如何用任何语言解决此问题的基础知识。如需参考，请参阅 the MDN docs on this topic。

您正在从一个域（例如domain-a.com）上运行的javascript向另一个域（domain-b.com）上运行的api发出url请求。当您这样做时，浏览器必须询问domain-b.com是否可以允许来自domain-a.com的请求。它通过 http options 请求来完成此操作。然后，在响应中，domain-b.com 上的服务器必须提供（至少）以下 http 标头，表示“是的，没关系”：

http/1.1 204 no content                            // or 200 ok
access-control-allow-origin: https://domain-a.com  // or * for allowing anybody
access-control-allow-methods: post, get, options   // what kind of methods are allowed
...                                                // other headers

如果您使用的是 chrome，则可以通过按 f12 并转到“网络”选项卡来查看domain-b.com 上的服务器给出的响应，从而查看响应的样子。

所以，回到@twove 的原始答案的最低限度：

header := w.Header()
header.Add("Access-Control-Allow-Origin", "*")

if r.Method == "OPTIONS" {
    w.WriteHeader(http.StatusOK)
    return
}

这将允许任何地方的任何人访问这些数据。由于其他原因，他包含的其他标头是必要的，但这些标头是满足 cors（跨源资源共享）要求的最低限度。

好了，本文到此结束，带大家了解了《CORS 策略拒绝访问：预检请求被访问控制检查拦截》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多Golang知识！