备案控制台
开发者社区 开发与运维 文章 正文

Golang——通过实例了解并解决CORS跨域问题

2023-02-16 49993
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Golang——通过实例了解并解决CORS跨域问题

跨源资源共享

实例

运行在http://localhost:8082端口的前端服务器express和运行在http://localhost:8080端口的后端服务器golang net/http。前端的javaScript代码使用fetch()函数发起一个到http://localhost:8080/api/students的请求。

后端代码:

/server/main.go

import (
  "encoding/json"
  "fmt"
  "net/http"
  _ "github.com/go-sql-driver/mysql"
  "github.com/jmoiron/sqlx"
)
var db *sqlx.DB
type Student struct {
  ID   int64
  Name string
  Sex  string
  Age  int64
}
// 连接数据库
func init(){
    dns := "user:pwd@tcp(localhost:3306)/db_name?charset=utf8&parseTime=True&loc=Local"
  db, err = sqlx.Open("mysql", dns)
  if err != nil {
        fmt.Println(err)
        return
  }
  db.SetMaxOpenConns(2000)
  db.SetMaxIdleConns(1000)
}
// 获取所有学生信息(数据自己事先插入)
func GetAllStudent() []Student {
  sqlStr := "SELECT * FROM student"
  students := make([]Student, 0)
  rows, _ := db.Query(sqlStr)
  student := Student{}
  for rows.Next() {
    rows.Scan(&student.ID, &student.Name, &student.Sex, &student.Age)
    students = append(students, student)
  }
  defer rows.Close()
  return students
}
func GetAllStudentInfo(w http.ResponseWriter, r *http.Request) {
  students := GetAllStudent()
  resp := make(map[string]interface{})
  resp["msg"] = "成功"
  resp["code"] = "200"
  resp["data"] = students
  jsonResp, err := json.Marshal(resp)
  if err != nil {
    fmt.Println(err)
    return
  }
  w.Write(jsonResp)
}
func main() {
  http.HandleFunc("/api/students", GetAllStudentInfo)
  http.ListenAndServe(":8080", nil)
}

前端代码:

没有下载express的在/client目录执行:

npm install express --save-dev

/client/main.js

import express from 'express'
// 返回了一个服务器对象
const app = express()
// express.static(): 指定静态资源所在目录
app.use(express.static('./'))
app.listen(8082)

启动前端服务器:node main.js

/client/students.html

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <title>学生信息</title>
</head>
<body>
    <script>
        // 以同步方式获取响应
        async function getStudents() {
            const promiseResp = await fetch("http://localhost:8080/api/students")
            const resp = await promiseResp.json()
            console.log(resp)
        }
        getStudents()
    </script>
</body>
</html>

访问:http://localhost:8082/students.html

可以看到控制台里打印的并不是我们预期的后端给的数据,这是为什么呢?

首先,我们要知道照成这个错误的原因是什么,我们先看整个请求相应的流程是什么样的:

问题清楚了,那么如何解决呢?

解决方法1:

交给后端来做

其实我们发送fetch请求的时候,如果你的发送者和你要访问的资源不同源的情况下,就会在请求中包含一个特殊的头Origin,这个头代表着发送者的源是谁,比如说我们这个例子里,发送者是students.html,它的源是localhost:8082,所以当students.html发一个请求给后端服务器的时候,就会携带Origin:http://localhost:8082,告诉后端服务器发送者来自于哪里(通俗来说就是,我是8082端口的人,我来要你8080端口的资源,你给不给吧),那么对于后端服务器这边来讲就要对这个请求做出选择了,如果允许8082访问自己的资源,就需要在响应里包含一个Access-Control-Allow-Origin头,如果不允许8082访问自己的资源,不加这个头即可。如果这个头的内容是Access-Control-Allow-Origin:http://localhost:8082,意思就是后端服务器这个响应只能给http://localhost:8082端口使用,别人不让用,如果这个头的内容是Access-Control-Allow-Origin:*,意思就是这个响应谁都可以用。

我们打开F12,查看网络:

可以看到请求头里是有一个上面说的Origin头,上面说了,只要他fetch发生了跨域,就会有一个Origin头。

我们来看服务器的响应,可以看到并没有做处理,服务器响应这边并没有Access-Control-Allow-Origin头,所以浏览器拿到这个响应之后报错了,发现后端服务器那边没有允许。

说到这里,想必也知道如何处理了,在后端服务器的响应里加入这个头,允许http://localhost:8082使用这个响应即可:

w.Header().Set("Access-Control-Allow-Origin", "http://localhost:8082")

重新启动后端服务器,刷新页面可以看到浏览器将响应给了students.html页面,此时在查看响应表头,就会发现有了Access-Control-Allow-Origin头:

解决方法2:

交给前端来做

除了上面说的解决方法1,还可以通过代理解决:

这次我们在前端服务器里加入了一个代理的插件,此时前端服务器就和浏览器有一个约定,原本浏览器有一部分请求发送给8082,有一部分发送给8080,这个新的约定就是说:

以后浏览器的所有请求都发给前端服务器8082,所以发请求就应该是向http://localhost:8082/api/students发了,可是8082并有这个数据呀,8080才有, 所以这个请求就要发给前端服务器的代理,然后由代理间接的再找8080请求数据,然后8080会把数据响应给8082,再由8082间接的返回给浏览器里的students.html

这时候我们来看,对于浏览器来说,有没有发生跨域问题?

并没有,因为它是向同源的8082发的请求,是没有Origin头的。

至于代理发的请求,它是通过JavaScript的API发请求,接响应的,是没有什么同源策略、跨域问题。

跨域和同源都是浏览器的特殊行为。

如何区分我这个请求到底是走8082还是走8080呢?

一般是通过请求的前缀路径来区分的,比如说需要找后端要的数据,咱们都给他加一个特殊的前缀/api/,这样只要你的请求是以/api/开头的,这些请求都是走代理,然后经过代理间接找后端请求的,如果你的请求没有加/api/这个前缀,这些请求就访问8082自己,找到这些网页资源。

看下面代码就明白了:

如果没有下载http-proxy-middleware,在/client目录执行:

npm install http-proxy-middleware --save-dev

/client/students.html

// 修改请求地址,由8080改为8082
const promiseResp = await fetch("http://localhost:8082/api/students")

/client/main.js

import express from 'express'
import { createProxyMiddleware } from 'http-proxy-middleware'
// 返回了一个服务器对象
const app = express()
// express.static(): 指定静态资源所在目录
app.use(express.static('./'))
// 添加代理,凡是以/api为前缀的,都代理到 http://localhost:8080
app.use('/api', createProxyMiddleware({
    target: "http://localhost:8080",
    changeOrigin: true
}
));
app.listen(8082)

重启前端服务:node main.js

再次访问http://localhost:8082/student.html

可以看到响应被获取到了:

查看网络,请求头里是没有Origin头的:

总结:

只要协议、主机、端口之一不同,就是不同源,比如:

http://localhost:8080/a和https://localhost:8080/b就不同源。

同源检查是浏览器的行为,而且只针对fetch、XMLHttpRequest请求

如果是其他客户端,例如golang net/http client、postman,他们是不做同源检查的。

通过表单提交,浏览器直接输入url地址这些方式发送的请求,也不会做同源检查。


  1. 更多相关知识请参考:
    MDNhttps://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
  2. 补充:

Golang解决跨域的完整代码:

上面给的解决方法1,只是针对例子的简陋的版本,真正go通过CORS解决跨域问题的完整代码:

gin中间件:

func Cors(context *gin.Context) {
  method := context.Request.Method
   // 1. [必须]接受指定域的请求,可以使用*不加以限制,但不安全
  //context.Header("Access-Control-Allow-Origin", "*")
  context.Header("Access-Control-Allow-Origin", context.GetHeader("Origin"))
  fmt.Println(context.GetHeader("Origin"))
  // 2. [必须]设置服务器支持的所有跨域请求的方法
  context.Header("Access-Control-Allow-Methods", "POST, GET, PUT, DELETE, OPTIONS")
   // 3. [可选]服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段
  context.Header("Access-Control-Allow-Headers", "Content-Type, Content-Length, Token")
   // 4. [可选]设置XMLHttpRequest的响应对象能拿到的额外字段
  context.Header("Access-Control-Expose-Headers", "Access-Control-Allow-Headers, Token")
  // 5. [可选]是否允许后续请求携带认证信息Cookir,该值只能是true,不需要则不设置
  context.Header("Access-Control-Allow-Credentials", "true")
  // 6. 放行所有OPTIONS方法
  if method == "OPTIONS" {
    context.AbortWithStatus(http.StatusNoContent)
    return
  }
  context.Next()
}

原生HTTP中间件:

func corsMiddleware(next http.Handler) http.Handler {
  return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
    // 1. [必须]接受指定域的请求,可以使用*不加以限制,但不安全
    // w.Header().Set("Access-Control-Allow-Origin", "*")
    w.Header().Set("Access-Control-Allow-Origin", r.Header.Get("Origin"))
    // 2. [必须]设置服务器支持的所有跨域请求的方法
    w.Header().Set("Access-Control-Allow-Methods", "POST,GET,PUT,DELETE,OPTIONS")
    // 3. [可选]服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段
    w.Header().Set("Access-Control-Allow-Headers", "Content-Type,Content-Length,Token")
    // 4. [可选]设置XMLHttpRequest的响应对象能拿到的额外字段
    w.Header().Set("Access-Control-Expose-Headers", "Access-Control-Allow-Headers,Token")
    // 5. [可选]是否允许后续请求携带认证信息Cookir,该值只能是true,不需要则不设置
    w.Header().Set("Access-Control-Allow-Credentials", "true")
    next.ServeHTTP(w, r)
  })
}
func main() {
  http.Handle("/api/test", corsMiddleware(http.HandlerFunc(test)))
  http.ListenAndServe(":8080", nil)
}
文章标签:
JavaScript
Go
前端开发
API
中间件
关键词:
CORS跨域
Golang实例
CORS跨域问题
小象裤衩
目录
相关文章
以山向海
|
6天前
|
存储 缓存 安全
oss跨域资源共享(CORS Configuration)
oss跨域资源共享(CORS Configuration)
以山向海
84 4
技术混子
|
6天前
|
前端开发 API 数据安全/隐私保护
Web前端开发中的跨域资源共享(CORS)解决方案
【2月更文挑战第5天】在Web前端开发中,跨域资源共享(CORS)是一个常见的挑战。本文将探讨CORS的概念和原理,并介绍一些常用的解决方案,包括服务器端配置和前端处理方法,帮助开发者更好地应对跨域请求问题。
技术混子
133 4
shuj
|
6天前
|
前端开发 开发者
前端开发中的跨域资源共享(CORS)解决方案探讨
【2月更文挑战第2天】跨域资源共享(CORS)是前端开发中常见的问题,本文将深入探讨CORS的原理及解决方案,包括简单请求、预检请求以及常用的CORS解决方案,为前端开发者提供深入的理解和应对CORS问题的有效方法。
shuj
49 1
醉鱼Java
|
6天前
|
Java
springboot+cors跨域处理
springboot+cors跨域处理
醉鱼Java
26 0
shuj
|
6天前
|
前端开发 JavaScript API
探索前端开发中的跨域资源共享(CORS)
【2月更文挑战第3天】在前端开发中,跨域资源共享(CORS)是一个至关重要的话题。本文将深入探讨CORS的概念、工作原理以及如何在前端项目中正确配置和处理跨域请求,帮助开发者更好地理解和应用CORS技术。
shuj
30 7
肥猪肥猪-17824
|
6天前
|
前端开发 安全 JavaScript
前端开发中的跨域资源共享(CORS)机制
【2月更文挑战第3天】 在前端开发中,跨域资源共享(CORS)机制是一个重要的安全性问题。本文将介绍CORS的概念、原理和实现方式,并探讨在前端开发中如何处理跨域资源请求,以及如何提高网站的安全性。
肥猪肥猪-17824
39 2
球球不吃虾
|
5天前
|
存储 安全 前端开发
第五章 跨域资源共享(CORS):现代Web开发中的关键机制
第五章 跨域资源共享(CORS):现代Web开发中的关键机制
球球不吃虾
27 1
阿珊和她的猫
|
5天前
|
移动开发 JSON 前端开发
跨域资源共享(CORS):详解跨域请求的限制与解决方法
跨域资源共享(CORS):详解跨域请求的限制与解决方法
阿珊和她的猫
36 1
向画
|
4天前
|
前端开发 安全 JavaScript
跨域资源共享(CORS)
跨域资源共享(CORS)
向画
8 0
蓝易云
|
6天前
|
Java Spring
快速解决Spring Boot跨域困扰:使用CORS实现无缝跨域支持
这是一个简单的配置示例,用于在Spring Boot应用程序中实现CORS支持。根据你的项目需求,你可能需要更详细的配置来限制允许的来源、方法和标头。
蓝易云
29 3

热门文章

最新文章

  • 1
    Python web框架fastapi中间件的使用,CORS跨域详解
  • 2
    Golang框架实战-KisFlow流式计算框架(2)-项目构建/基础模块-(上)
  • 3
    Golang框架实战-KisFlow流式计算框架(1)-概述
  • 4
    单元测试3.0实践之Golang质量生态建设
  • 5
    Golang深入浅出之-切片(Slices)入门:创建、操作与扩容机制
  • 6
    Golang深入浅出之-Go语言结构体(struct)入门:定义与使用
  • 7
    Golang深入浅出之-Go语言函数基础:定义、调用与多返回值
  • 8
    Golang深入浅出之-Go语言中的时间与日期处理:time包详解
  • 9
    Golang深入浅出之-文件与目录操作:os与path/filepath包
  • 10
    Golang深入浅出之-Go语言基础语法:变量声明与赋值
  • 1
    第十三章 Golang客户信息关系系统
    27
  • 2
    第十二章 Golang家庭收支记账软件项目
    42
  • 3
    【Golang】使用泛型对数组进行去重
    32
  • 4
    【Golang】解决使用interface{}解析json数字会变成科学计数法的问题
    60
  • 5
    编程笔记 GOLANG基础 005 第一个程序:hello world 使用vscode
    37
  • 6
    编程笔记 GOLANG基础 004 GOLANG常用命令及VSCODE快捷键
    37
  • 7
    编程笔记 GOLANG基础 003 Go语言开发环境搭建
    32
  • 8
    编程笔记 GOLANG基础 002 Go语言简介
    23
  • 9
    编程笔记 GOLANG基础 001 为什么要学习Go语言
    39
  • 10
    Golang拼接字符串性能对比
    45

    • 相关课程

    更多
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应

    • 相关电子书

    更多
  • 阿里开发者手册-Golang专题
  • Golang 微服务在腾讯游戏用户运营领域的探索及实践
  • 低代码开发师(初级)实战教程

    • 推荐镜像

    更多
  • golang
  • nodejs-release
  • pypi
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考