企业🤖AI智能体构建引擎,智能编排和调试,一键部署,支持私有化部署方案 广告
# CORS(访问控制) 中间件 CORS 中间件实现了 CORS 的标准。CORS 提供给 web 服务器跨站的访问控制,使得跨站的数据传输更安全。 ## Install ``` go get -u github.com/devfeel/middleware ``` ## Code: ``` import "github.com/devfeel/middleware/cors" // 设置cors选项 option := cros.NewConfig().UseDefault() server.GET("/", Index).Use(cors.Middleware(option)) ``` ## Config: ### UseDefault `string` 对config启用预设的默认值: * enabledCROS = true * HeaderAccessControlAllowOrigin = "*" * HeaderAccessControlAllowMethods = "GET, POST, PUT, DELETE, OPTIONS" * HeaderAccessControlAllowHeaders = "Content-Type" * HeaderP3P = "CP=\"CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR\"" ### Enabled 设置cros参数生效,确保其会写入Response.Header ### SetOrigin `string` * 对应Access-Control-Allow-Origin * 该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。 ### SetMethod `string` * 对应Access-Control-Allow-Methods * 该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。 ### SetHeader `string` * 对应Access-Control-Allow-Headers * 如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。 ### SetExposeHeaders `string` * 对应Access-Control-Expose-Headers * 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段 * Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma * 如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定 ### SetAllowCredentials `string` * 对应Access-Control-Allow-Credentials * 该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可 #### SetMaxAge `int` * 对应Access-Control-Max-Age * 该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。 ### SetP3P `string` * 对应P3P * P3P(Platform for Privacy Preferences) ## 服务器代码: ~~~ package main import ( "fmt" "github.com/devfeel/dotweb" "github.com/devfeel/middleware/cors" ) func main() { //初始化DotServer app := dotweb.New() app.SetEnabledLog(true) //开启development模式 app.SetDevelopmentMode() //设置路由 InitRoute(app.HttpServer) // 开始服务 port := 8080 err := app.StartServer(port) if err != nil { fmt.Println("dotweb.StartServer error => ", err) } } func Index(ctx dotweb.Context) error { ctx.WriteString("Index: ", dotweb.HeaderAccessControlAllowMethods, " => ", ctx.Response().QueryHeader(dotweb.HeaderAccessControlAllowMethods)) return nil } func Simple(ctx dotweb.Context) error { return ctx.WriteString("Simple: ", dotweb.HeaderAccessControlAllowMethods, " => ", ctx.RouterNode(), " => ", ctx.Response().QueryHeader(dotweb.HeaderAccessControlAllowMethods)) } func NoCros(ctx dotweb.Context) error { return ctx.WriteString("NoCros: ", dotweb.HeaderAccessControlAllowMethods, " => ", ctx.Response().QueryHeader(dotweb.HeaderAccessControlAllowMethods)) } func InitRoute(server *dotweb.HttpServer) { server.Router().GET("/", Index).Use(NewCustomCROS()) server.GET("/simple", Simple).Use(NewSimpleCROS()) server.Router().GET("/nocros", NoCros) } // NewSimpleCROS // default config: // enabledCROS = true // allowedOrigins = "*" // allowedMethods = "GET, POST, PUT, DELETE, OPTIONS" // allowedHeaders = "Content-Type" // allowedP3P = "CP=\"CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR\"" func NewSimpleCROS() dotweb.Middleware { option := cors.NewConfig().UseDefault() return cors.Middleware(option) } func NewCustomCROS() dotweb.Middleware { option := cors.NewConfig() option.SetHeader("Content-Type") option.SetMethod("GET, POST") option.Enabled() return cors.Middleware(option) } ~~~