Go gin api中拒绝了多个CORS值

分享于2022年07月17日 cors go reverse-proxy 问答
【问题标题】:Go gin api中拒绝了多个CORS值(multiple CORS values being rejected in Go gin api)
【发布时间】:2022-02-08 07:10:40
【问题描述】:

在我的 Go API 中,我使用的是 gin,我在 Access-Control-Allow-Origin 标头中设置了一个值。如果我有多个,我的反应 UI 会抛出一个错误,效果为 The Access-Control-Allow-Origin header contains multiple values 'http://value1, http://value2', but only one is allowed... 。我需要设置多个值。我该怎么做?

API是反向代理,相关代码如下:

func proxy(c *gin.Context) {
  var remote = "myUrl"
  proxy := httputil.NewSingleHostReverseProxy(remote)
  proxy.Director = func(req *http.Request) {
        req.Header.Set("Authorization", "My Auth Values")
        req.Host = remote.Host
        req.URL.Scheme = remote.Scheme
        req.URL.Host = remote.Host
    }
    proxy.ModifyResponse = addCustomHeader
    proxy.ServeHTTP(c.Writer, c.Request)
}

func addCustomHeader(r *http.Response) error {
    r.Header["Access-Control-Allow-Origin"] = []string{"value1"}
    return nil
}

  • Access-Control-Allow-Origin 可以是单个值或“*”。为什么需要设置多个?

【解决方案1】:

CORS 标头只能包含一个值。如果您想实现自己的 CORS 中间件,则需要解决这个问题。

一个简单的 CORS 中间件会在 Access-Control-Allow-Origin 标头中添加传入请求的特定地址的值,通常取自 Referer Origin 标头。通常,您首先将其与列表或地图进行匹配,以查看它是否在您的 允许列表 中。如果是这样,则将请求的地址添加为允许的来源(作为单个值)。

一个简单的例子可能如下所示

allowList := map[string]bool{
    "https://www.google.com": true,
    "https://www.yahoo.com":  true,
}

http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
    if origin := r.Header.Get("Origin"); allowList[origin] {
        w.Header().Set("Access-Control-Allow-Origin", origin)
    }
})

由于您使用的是反向代理,因此您可以从响应中访问请求。

mod := func(allowList map[string]bool) func(r *http.Response) error {
    return func(r *http.Response) error {
        if origin := r.Request.Header.Get("Origin"); allowList[origin] {
            r.Header.Set("Access-Control-Allow-Origin", origin)
        }
        return nil
    }
}

proxy := &httputil.ReverseProxy{
    Director: func(r *http.Request) {
        r.URL.Scheme = "https"
        r.URL.Host = "go.dev"
        r.Host = r.URL.Host
    },
    ModifyResponse: mod(allowList),
}