使用Go語言實現(xiàn)跨域資源共享(CORS)設置

更新時間：2024年06月05日 10:24:56 作者：程序員墨松

在Web開發(fā)中,跨域資源共享（CORS）是一種重要的安全機制,它允許許多資源在一個網頁上被另一個來源的網頁所訪問,然而,出于安全考慮,瀏覽器默認禁止這種跨域訪問,為了解決這個問題,我們可以使用Go語言來設置CORS,需要的朋友可以參考下

如何使用Go語言進行跨域資源共享（CORS）設置？

在Web開發(fā)中，跨域資源共享（CORS）是一種重要的安全機制，它允許許多資源（例如字體、JavaScript等）在一個網頁上被另一個來源的網頁所訪問。然而，出于安全考慮，瀏覽器默認禁止這種跨域訪問。為了解決這個問題，我們可以使用Go語言來設置CORS。

為什么需要設置CORS？

在Web應用中，我們經常會遇到這樣的場景：一個網頁需要從另一個來源獲取資源，例如從CDN加載圖片或JavaScript文件，或者從一個API服務獲取數(shù)據。由于瀏覽器的同源策略限制，這些跨域請求默認會被阻止。CORS機制就是為了解決這個問題而設計的，它允許服務器明確指示哪些來源的網頁可以訪問其資源。

如何使用Go語言設置CORS？

在Go語言中，設置CORS通常涉及到在HTTP響應頭中設置適當?shù)腃ORS相關頭信息。以下是一個簡單的示例，展示了如何在Go的HTTP服務器中設置CORS：

package main

import (
 "fmt"
 "net/http"
)

func corsHandler(w http.ResponseWriter, r *http.Request) {
 // 設置允許跨域訪問的來源
 w.Header().Set("Access-Control-Allow-Origin", "*")

 // 設置允許的請求方法
 w.Header().Set("Access-Control-Allow-Methods", "POST, GET, OPTIONS, PUT, DELETE")

 // 設置允許的請求頭
 w.Header().Set("Access-Control-Allow-Headers", "Accept, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization")

 // 預檢請求的緩存時間（秒）
 w.Header().Set("Access-Control-Max-Age", "86400")

 // 是否允許攜帶憑證
 w.Header().Set("Access-Control-Allow-Credentials", "true")

 // 處理實際的請求
 // ...
}

func main() {
 http.HandleFunc("/", corsHandler)
 http.ListenAndServe(":8080", nil)
}

在這個示例中，我們定義了一個corsHandler函數(shù)，它會在每個響應中設置CORS相關的頭信息。然后，我們將這個函數(shù)注冊為處理根路徑（“/”）的處理器。

Access-Control-Allow-Origin：指定哪些來源的網頁可以訪問該資源。在這個例子中，我們設置為"*"，表示允許所有來源的訪問。在實際應用中，為了安全起見，你應該明確指定允許訪問的來源。
Access-Control-Allow-Methods：指定允許的HTTP請求方法，如GET、POST等。
Access-Control-Allow-Headers：指定允許的請求頭。
Access-Control-Max-Age：指定預檢請求的緩存時間（以秒為單位）。這可以減少不必要的預檢請求。
Access-Control-Allow-Credentials：指定是否允許攜帶憑證（如cookies、HTTP認證等）。

請注意，這只是一個簡單的示例，用于說明如何在Go語言中設置CORS。在實際應用中，你可能需要根據具體需求進行更復雜的配置。此外，你還可以考慮使用第三方庫（如gorilla/mux、chirouter等）來更方便地管理CORS設置。

拓展知識：Go實現(xiàn)CORS（跨域）

實現(xiàn)原理

跨域資源共享標準描述了，新的HTTP頭部在瀏覽器有權限的時候，應該以如何的形式發(fā)送請求到遠程URLs。雖然服務器會有一些校驗和認證，但是瀏覽器有責任去支持這些頭部以及增加相關的限制。對于能夠修改數(shù)據的Ajax和HTTP請求方法（特別是 GET 以外的 HTTP 請求，或者搭配某些 MIME 類型的 POST 請求），瀏覽器必須首先使用 OPTIONS 方法發(fā)起一個預檢請求（preflight request），從而獲知服務端是否允許該跨源請求。服務器確認允許之后，才發(fā)起實際的 HTTP 請求。在預檢請求的返回中，服務器端也可以通知客戶端，是否需要攜帶身份憑證（包括 Cookies 和 HTTP 認證相關數(shù)據）。

Go是如何實現(xiàn)

在Golang中，可以使用HTTP處理程序和中間件來實現(xiàn)CORS。接著我們以Gin為例

package main

import (
	"github.com/gin-gonic/gin"
	"net/http"
)

func main() {
	router := gin.Default()

	// CORS中間件
	cors := func(c *gin.Context) {
		// 允許特定的域進行跨域請求
		c.Writer.Header().Set("Access-Control-Allow-Origin", "http://mysite.vip")
		// 允許特定的請求方法
		c.Writer.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE")
		// 允許特定的請求頭
		c.Writer.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
		// 允許攜帶身份憑證（如Cookie）
		c.Writer.Header().Set("Access-Control-Allow-Credentials", "true")
		// 繼續(xù)處理請求
		c.Next()
	}

	// 應用CORS中間件到所有路由
	router.Use(cors)

	// 定義一個路由和處理器函數(shù)
	router.GET("/hello-world", func(c *gin.Context) {
		c.String(http.StatusOK, "Hello, World!")
	})
	router.Run(":8080")
}

輸出

[GIN-debug] GET /hello-world --> main.main.func2 (4 handlers)
[GIN-debug] Listening and serving HTTP on :8080

在上例中，設置了Access-Control-Allow-Origin響應頭，指定允許跨域請求的域名。您可以根據需要設置為特定域名、通配符*（允許所有域名）或動態(tài)獲取請求頭中的Origin值。另外，還設置了允許的請求方法、請求頭以及是否允許攜帶身份憑證（如Cookie）。

測試

這里通過命令行curl來驗證，如果返回結果中出現(xiàn) CORS 相關的 header（ ccess-Control-Allow-Origin: * < Access-Control-Allow-Methods: * < Access-Control-Allow-Headers: * < Access-Control-Expose-Headers: * < Access-Control-Max-Age: 5 ），則跨域成功。結果如下:

#curl -i -k http://127.0.0.1:8080/hello-world
HTTP/1.1 200 OK
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Origin: http://mysite.vip
Content-Type: text/plain; charset=utf-8
Date: Sat, 14 Oct 2023 13:42:35 GMT
Content-Length: 13

Hello, World!

到此這篇關于使用Go語言實現(xiàn)跨域資源共享(CORS)設置的文章就介紹到這了,更多相關Go設置CORS內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: