相关方法: https://pkg.go.dev/github.com/gogf/gf/v2/net/ghttp#Response

CORSW3互联网标准组织对HTTP跨域请求的标准,在ghttp模块中,我们可以通过CORSOptions对象来管理对应的跨域请求选项。定义如下:

  1. // See https://www.w3.org/TR/cors/ .
  2. // 服务端允许跨域请求选项
  3. type CORSOptions struct {
  4.     AllowDomain      []string // Used for allowing requests from custom domains
  5.     AllowOrigin      string   // Access-Control-Allow-Origin
  6.     AllowCredentials string   // Access-Control-Allow-Credentials
  7.     ExposeHeaders    string   // Access-Control-Expose-Headers
  8.     MaxAge           int      // Access-Control-Max-Age
  9.     AllowMethods     string   // Access-Control-Allow-Methods
  10.     AllowHeaders     string   // Access-Control-Allow-Headers
  11. }

具体参数的介绍请查看W3组织 官网手册

CORS配置

当然,为方便跨域设置,在ghttp模块中也提供了默认的跨域请求选项,通过DefaultCORSOptions方法获取。大多数情况下,我们在需要允许跨域请求的接口中(一般情况下使用中间件)可以直接使用CORSDefault()允许该接口跨域访问。

限制Origin来源

大多数时候,我们需要限制请求来源为我们受信任的域名列表,我们可以使用AllowDomain配置,使用方式:

示例1,基本使用

我们来看一个简单的接口示例:

  1. package main
  3. import (
  4.     "github.com/gogf/gf/v2/frame/g"
  5.     "github.com/gogf/gf/v2/net/ghttp"
  8. func Order(r *ghttp.Request) {
  9.     r.Response.Write("GET")
  10. }
  12. func main() {
  13.     s.Group("/api.v1", func(group *ghttp.RouterGroup) {
  14.         group.GET("/order", Order)
  15.     })
  16.     s.SetPort(8199)
  17.     s.Run()
  18. }

接口地址是 http://localhost/api.v1/order ,当然这个接口是不允许跨域的。我们打开一个不同的域名,例如:百度首页(正好用了jQuery,方便调试),然后按F12打开开发者面板,在console下执行以下AJAX请求:

结果如下:

返回了不允许跨域请求的提示错误,接着我们修改一下服务端接口的测试代码,如下:

  1. package main
  3. import (
  4.     "github.com/gogf/gf/v2/frame/g"
  5.     "github.com/gogf/gf/v2/net/ghttp"
  6. )
  8. func MiddlewareCORS(r *ghttp.Request) {
  9.     r.Response.CORSDefault()
  10.     r.Middleware.Next()
  11. }
  13. func Order(r *ghttp.Request) {
  14.     r.Response.Write("GET")
  15. }
  17. func main() {
  18.     s := g.Server()
  19.     s.Group("/api.v1", func(group *ghttp.RouterGroup) {
  20.         group.Middleware(MiddlewareCORS)
  21.         group.GET("/order", Order)
  22.     })
  23.     s.SetPort(8199)
  24.     s.Run()

返回刚才的百度首页,再次执行请求AJAX请求,这次便成功了:

CORS跨域处理 - 图2

当然我们也可以通过CORSOptions对象以及CORS方法对跨域请求做更多的设置。

在大多数场景中,我们是需要自定义授权跨域的Origin,那么我们可以将以上的例子改进如下,在该示例中,我们仅允许goframe.orgbaidu.com跨域请求访问。

示例3,自定义检测授权

不知大家是否有注意,在以上的示例中有个细节,即使当前接口不允许跨域访问,但是只要接口被调用,接口完整逻辑仍会被执行,在服务端其实也已经走完了一次请求流程。针对于这个问题,我们可以通过自定义授权Origin并在中间件中通过CORSAllowedOrigin方法来做判断,如果当前请求的Origin在服务端是被允许执行的,那么才会执行后续流程,否则便会终止执行。

  1. package main
  3. import (
  4.     "github.com/gogf/gf/v2/frame/g"
  5.     "github.com/gogf/gf/v2/net/ghttp"
  6. )
  8. func MiddlewareCORS(r *ghttp.Request) {
  9.     corsOptions := r.Response.DefaultCORSOptions()
  10.     corsOptions.AllowDomain = []string{"goframe.org"}
  11.     if !r.Response.CORSAllowedOrigin(corsOptions) {
  12.         r.Response.WriteStatus(http.StatusForbidden)
  13.         return
  14.     }
  15.     r.Response.CORS(corsOptions)
  16.     r.Middleware.Next()
  17. }
  19. func Order(r *ghttp.Request) {
  20.     r.Response.Write("GET")
  21. }
  23. func main() {
  24.     s := g.Server()
  25.     s.Group("/api.v1", func(group *ghttp.RouterGroup) {
  26.         group.Middleware(MiddlewareCORS)
  27.         group.GET("/order", Order)
  28.     })
  29.     s.SetPort(8199)