CORS 预检请求与大猩猩处理程序的神秘失效

积累知识，胜过积蓄金银！毕竟在Golang开发的过程中，会遇到各种各样的问题，往往都是一些细节知识点还没有掌握好而导致的，因此基础知识点的积累是很重要的。下面本文《CORS 预检请求与大猩猩处理程序的神秘失效》，就带大家讲解一下知识点，若是你对本文感兴趣，或者是想搞懂其中某个知识点，就请你继续往下看吧~

我正在通过 heroku 为我的应用程序发布 golang api。无法让我的 web 应用程序（flutter/dart 堆栈）真正从我的 api 获得成功的响应。不过，我能够使用本地的curl命令获得成功的响应。我已经阅读了几篇关于更改 go mux 服务器并添加正确标头的文章，但这对我来说不起作用。我什至看到这些标头在我的卷曲请求期间返回。确实需要一些帮助，因为这会减慢我的速度。

本质上这是我创建服务器的主类

import (
    "api/preventative_care"
    "api/user"
    "github.com/gorilla/handlers"
    "github.com/gorilla/mux"
    "log"
    "net/http"
    "os"
)

func main() {
    log.setflags(log.lstdflags | log.llongfile)
    router := mux.newrouter()

    // where origin_allowed is like `scheme://dns[:port]`, or `*` (insecure)

    headersok := handlers.allowedheaders([]string{"*"})
    methodsok := handlers.allowedmethods([]string{"get", "head", "post", "put", "options"})
    originsok := handlers.allowedorigins([]string{"*"})

    router.handlefunc("/", func(writer http.responsewriter, request *http.request) {
        log.println("up and running!")
    })
    router.handlefunc("/api/login", user.loginhandler).methods("get")
    router.handlefunc("/api/recommendations", preventative_care.recommendationhandler).methods("get")

    var port = os.getenv("port")
    log.printf("starting application on port %s\n", port)

    //log.fatal(http.listenandserve(fmt.sprintf(":%s", port), router))
    log.fatal(http.listenandserve(":" + os.getenv("port"), handlers.cors(originsok, headersok, methodsok)(router)))

}

调用此 api 的 dart 代码如下所示：

map headers = {
      "content-type": "application/json",
      "username": username,
      "password": password
    };

    final response = await http.get(uri.parse(uri), headers: headers);

我在 2 个独立的 heroku dynos 中托管 web 应用程序和 api。当我使用curl从本地访问api时，我看到如下：

$ > curl -ixget https://my-app-api.herokuapp.com/api/login -h "username:hello" -h "password:pizza"

http/1.1 200 ok
server: cowboy
connection: keep-alive
content-type: application/json
date: thu, 18 nov 2021 23:39:56 gmt
content-length: 160
via: 1.1 vegur

我以为我应该看到标题 access-control-allow-origin: * 添加在那里，但还没有，我仍然得到 200 成功。但是，当我尝试使用我的 web 应用程序从使用 google chrome 的登录屏幕访问 api 时，我看到此错误：

从源“https://my-app-staging.herokuapp.com”访问“https://my-app-api.herokuapp.com/api/login”处的 xmlhttprequest 已被 cors 策略阻止：对预检的响应请求未通过访问控制检查：请求的资源上不存在“access-control-allow-origin”标头。

不知道 - 就像 chrome 或其他什么东西删除了标头？

编辑：我还尝试使用 curl 发送预检请求，并且我看到了正确的标头 - 但它仍然显示 4xx 错误。

$ > curl -H "Access-Control-Request-Method: GET" -H "Origin: https://my-app-staging.herokuapp.com" --head https://my-app-api.herokuapp.com/api/login

HTTP/1.1 405 Method Not Allowed
Server: Cowboy
Connection: keep-alive
Access-Control-Allow-Origin: *
Date: Fri, 19 Nov 2021 00:51:52 GMT
Via: 1.1 vegur

所以现在我真的不确定

正确答案

tl;dr

gorilla/handlers（还没有？）支持 access-control-allow-headers 的通配符。您必须显式指定所有允许的标头。在你的情况下，而不是

handlers.allowedheaders([]string{"*"})

你应该有

handlers.AllowedHeaders([]string{"content-type", "username", "password"})

更多详细信息

Fetch standard 添加了对 access-control-allow-headers 标头 back in 2016 中通配符的支持（在非凭据请求的情况下）。现在大多数现代浏览器为 support this feature。

但是，gorilla/handlers 似乎还没有跟上规范。如果您检查 the handlers.AllowedHeaders function 和 the *cors.ServeHTTP method 的源代码，您会发现没有对 "*" 值进行特殊处理：它是按字面意思处理的。因此，预检请求提供的请求标头（content-type、username 和 password）和允许的标头（*，按字面意思理解）之间的 cors 中间件 detects a mismatch 和 responds with a 403 甚至无需设置 zqbc zqb访问控制允许-origin 标头，从而导致访问控制检查失败。

理论要掌握，实操不能落！以上关于《CORS 预检请求与大猩猩处理程序的神秘失效》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！