登录
首页 >  Golang >  Go问答

拒绝Go Gin API中的多个CORS值

来源:stackoverflow

时间:2024-03-07 18:33:26 490浏览 收藏

在IT行业这个发展更新速度很快的行业,只有不停止的学习,才不会被行业所淘汰。如果你是Golang学习者,那么本文《拒绝Go Gin API中的多个CORS值》就很适合你!本篇内容主要包括##content_title##,希望对大家的知识积累有所帮助,助力实战开发!

问题内容

在我的 go api 中,我使用 gin,并且在 access-control-allow-origin 标头中设置了一个值。如果我有多个值,我的 react ui 会抛出一个错误,影响 the access-control-allow-origin 标头包含多个值“http://value1, http://value2”,但只允许一个。 .。我需要设置多个值。我该怎么做?

该 api 是一个反向代理,相关代码如下:

func proxy(c *gin.Context) {
  var remote = "myUrl"
  proxy := httputil.NewSingleHostReverseProxy(remote)
  proxy.Director = func(req *http.Request) {
        req.Header.Set("Authorization", "My Auth Values")
        req.Host = remote.Host
        req.URL.Scheme = remote.Scheme
        req.URL.Host = remote.Host
    }
    proxy.ModifyResponse = addCustomHeader
    proxy.ServeHTTP(c.Writer, c.Request)
}

func addCustomHeader(r *http.Response) error {
    r.Header["Access-Control-Allow-Origin"] = []string{"value1"}
    return nil
}

正确答案


cors 标头只能包含单个值。如果您想实现自己的 cors 中间件,则需要解决这个问题。

简单的 cors 中间件将添加 access-control-allow-origin 标头以及传入请求的特定地址的值,通常取自 refererorigin 标头。通常,您首先将其与列表或地图进行匹配,以查看它是否在您的允许列表中。如果是这样,则请求的地址将添加为允许的来源(作为单个值)。

一个简单的例子如下所示

allowlist := map[string]bool{
    "https://www.google.com": true,
    "https://www.yahoo.com":  true,
}

http.handlefunc("/", func(w http.responsewriter, r *http.request) {
    if origin := r.header.get("origin"); allowlist[origin] {
        w.header().set("access-control-allow-origin", origin)
    }
})

由于您使用的是反向代理,因此您可以从响应中访问请求。

mod := func(allowList map[string]bool) func(r *http.Response) error {
    return func(r *http.Response) error {
        if origin := r.Request.Header.Get("Origin"); allowList[origin] {
            r.Header.Set("Access-Control-Allow-Origin", origin)
        }
        return nil
    }
}

proxy := &httputil.ReverseProxy{
    Director: func(r *http.Request) {
        r.URL.Scheme = "https"
        r.URL.Host = "go.dev"
        r.Host = r.URL.Host
    },
    ModifyResponse: mod(allowList),
}

您只需要为每个传入请求提供一个值。通常的技术是在服务器上配置可信来源,例如:

  • trustedorigins:[https://www.domain1.com、https://www.domain2.com]

然后检查 origin 标头的运行时值,该值由所有现代浏览器发送。如果这是受信任的来源,则添加 cors 标头:

可以使用通配符,但不建议这样做,并且如果您还使用凭据请求(例如带有 cookie 的请求),也不会按预期工作。

本篇关于《拒绝Go Gin API中的多个CORS值》的介绍就到此结束啦,但是学无止境,想要了解学习更多关于Golang的相关知识,请关注golang学习网公众号!

声明:本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>