Go gin 中拒绝了多个 CORS 值 api
multiple CORS values being rejected in Go gin api
在我的 Go API 中,我使用的是杜松子酒,并且我在 Access-Control-Allow-Origin header 中设置了一个值。如果我有多个,我的反应 UI 会抛出一个错误 The Access-Control-Allow-Origin header contains multiple values 'http://value1, http://value2', but only one is allowed...。我需要设置多个值。我该怎么做?
API是反向代理,相关代码如下:
func proxy(c *gin.Context) {
var remote = "myUrl"
proxy := httputil.NewSingleHostReverseProxy(remote)
proxy.Director = func(req *http.Request) {
req.Header.Set("Authorization", "My Auth Values")
req.Host = remote.Host
req.URL.Scheme = remote.Scheme
req.URL.Host = remote.Host
}
proxy.ModifyResponse = addCustomHeader
proxy.ServeHTTP(c.Writer, c.Request)
}
func addCustomHeader(r *http.Response) error {
r.Header["Access-Control-Allow-Origin"] = []string{"value1"}
return nil
}
一个 CORS header 只能包含一个值。如果您想实现自己的 CORS 中间件,则需要解决这个问题。
一个简单的 CORS 中间件会将 Access-Control-Allow-Origin header 与传入请求的特定地址的值相加,通常取自 Referer 或 Origin header。通常,您首先将其与列表或地图进行匹配,以查看它是否在您的 允许列表 中。如果是这样,则将请求的地址添加为允许的来源(作为单个值)。
一个简单的示例可能如下所示
allowList := map[string]bool{
"https://www.google.com": true,
"https://www.yahoo.com": true,
}
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
if origin := r.Header.Get("Origin"); allowList[origin] {
w.Header().Set("Access-Control-Allow-Origin", origin)
}
})
由于您使用的是反向代理,因此您可以从响应中访问请求。
mod := func(allowList map[string]bool) func(r *http.Response) error {
return func(r *http.Response) error {
if origin := r.Request.Header.Get("Origin"); allowList[origin] {
r.Header.Set("Access-Control-Allow-Origin", origin)
}
return nil
}
}
proxy := &httputil.ReverseProxy{
Director: func(r *http.Request) {
r.URL.Scheme = "https"
r.URL.Host = "go.dev"
r.Host = r.URL.Host
},
ModifyResponse: mod(allowList),
}
每个传入请求只需要一个值。通常的技术是在服务器上配置可信来源,例如:
- trustedOrigins:[https://www.domain1.com、https://www.domain2.com]
然后检查 origin header 的运行时值,所有现代浏览器都会发送该值。如果这是可信来源,则添加 CORS headers:
- Access-Control-Allow-Origin: https://www.domain2.com
可以使用通配符,但不推荐使用通配符,如果您还使用凭据请求(例如带有 cookie 的请求),通配符也不会按预期工作。
在我的 Go API 中,我使用的是杜松子酒,并且我在 Access-Control-Allow-Origin header 中设置了一个值。如果我有多个,我的反应 UI 会抛出一个错误 The Access-Control-Allow-Origin header contains multiple values 'http://value1, http://value2', but only one is allowed...。我需要设置多个值。我该怎么做?
API是反向代理,相关代码如下:
func proxy(c *gin.Context) {
var remote = "myUrl"
proxy := httputil.NewSingleHostReverseProxy(remote)
proxy.Director = func(req *http.Request) {
req.Header.Set("Authorization", "My Auth Values")
req.Host = remote.Host
req.URL.Scheme = remote.Scheme
req.URL.Host = remote.Host
}
proxy.ModifyResponse = addCustomHeader
proxy.ServeHTTP(c.Writer, c.Request)
}
func addCustomHeader(r *http.Response) error {
r.Header["Access-Control-Allow-Origin"] = []string{"value1"}
return nil
}
一个 CORS header 只能包含一个值。如果您想实现自己的 CORS 中间件,则需要解决这个问题。
一个简单的 CORS 中间件会将 Access-Control-Allow-Origin header 与传入请求的特定地址的值相加,通常取自 Referer 或 Origin header。通常,您首先将其与列表或地图进行匹配,以查看它是否在您的 允许列表 中。如果是这样,则将请求的地址添加为允许的来源(作为单个值)。
一个简单的示例可能如下所示
allowList := map[string]bool{
"https://www.google.com": true,
"https://www.yahoo.com": true,
}
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
if origin := r.Header.Get("Origin"); allowList[origin] {
w.Header().Set("Access-Control-Allow-Origin", origin)
}
})
由于您使用的是反向代理,因此您可以从响应中访问请求。
mod := func(allowList map[string]bool) func(r *http.Response) error {
return func(r *http.Response) error {
if origin := r.Request.Header.Get("Origin"); allowList[origin] {
r.Header.Set("Access-Control-Allow-Origin", origin)
}
return nil
}
}
proxy := &httputil.ReverseProxy{
Director: func(r *http.Request) {
r.URL.Scheme = "https"
r.URL.Host = "go.dev"
r.Host = r.URL.Host
},
ModifyResponse: mod(allowList),
}
每个传入请求只需要一个值。通常的技术是在服务器上配置可信来源,例如:
- trustedOrigins:[https://www.domain1.com、https://www.domain2.com]
然后检查 origin header 的运行时值,所有现代浏览器都会发送该值。如果这是可信来源,则添加 CORS headers:
- Access-Control-Allow-Origin: https://www.domain2.com
可以使用通配符,但不推荐使用通配符,如果您还使用凭据请求(例如带有 cookie 的请求),通配符也不会按预期工作。