gva cors 中间件
code
package middleware
import (
"github.com/flipped-aurora/gin-vue-admin/server/config"
"github.com/flipped-aurora/gin-vue-admin/server/global"
"github.com/gin-gonic/gin"
"net/http"
)
// Cors 直接放行所有跨域请求并放行所有 OPTIONS 方法
func Cors() gin.HandlerFunc {
return func(c *gin.Context) {
method := c.Request.Method
origin := c.Request.Header.Get("Origin")
c.Header("Access-Control-Allow-Origin", origin)
c.Header("Access-Control-Allow-Headers", "Content-Type,AccessToken,X-CSRF-Token, Authorization, Token,X-Token,X-User-Id")
c.Header("Access-Control-Allow-Methods", "POST, GET, OPTIONS,DELETE,PUT")
c.Header("Access-Control-Expose-Headers", "Content-Length, Access-Control-Allow-Origin, Access-Control-Allow-Headers, Content-Type, New-Token, New-Expires-At")
c.Header("Access-Control-Allow-Credentials", "true")
// 放行所有OPTIONS方法
if method == "OPTIONS" {
c.AbortWithStatus(http.StatusNoContent)
}
// 处理请求
c.Next()
}
}
// CorsByRules 按照配置处理跨域请求
func CorsByRules() gin.HandlerFunc {
// 放行全部
if global.GVA_CONFIG.Cors.Mode == "allow-all" {
return Cors()
}
return func(c *gin.Context) {
whitelist := checkCors(c.GetHeader("origin"))
// 通过检查, 添加请求头
if whitelist != nil {
c.Header("Access-Control-Allow-Origin", whitelist.AllowOrigin)
c.Header("Access-Control-Allow-Headers", whitelist.AllowHeaders)
c.Header("Access-Control-Allow-Methods", whitelist.AllowMethods)
c.Header("Access-Control-Expose-Headers", whitelist.ExposeHeaders)
if whitelist.AllowCredentials {
c.Header("Access-Control-Allow-Credentials", "true")
}
}
// ��严格白名单模式且未通过检查,直接拒绝处理请求
if whitelist == nil && global.GVA_CONFIG.Cors.Mode == "strict-whitelist" && !(c.Request.Method == "GET" && c.Request.URL.Path == "/health") {
c.AbortWithStatus(http.StatusForbidden)
} else {
// 非严格白名单模式,无论是否通过检查均放行所有 OPTIONS 方法
if c.Request.Method == http.MethodOptions {
c.AbortWithStatus(http.StatusNoContent)
}
}
// 处理请求
c.Next()
}
}
func checkCors(currentOrigin string) *config.CORSWhitelist {
for _, whitelist := range global.GVA_CONFIG.Cors.Whitelist {
// 遍历配置中的跨域头,寻找匹配项
if currentOrigin == whitelist.AllowOrigin {
return &whitelist
}
}
return nil
}
解释代码
这个代码定义了两个 Gin 中间件函数,用于处理跨域资源共享(CORS)请求:
Cors: 直接放行所有跨域请求,并放行所有 OPTIONS 方法。CorsByRules: 根据配置文件中的规则处理跨域请求。
以下是对这两个中间件的简要说明:
-
Cors中间件:- 允许所有来源的跨域请求。
- 允许特定的请求头和方法。
- 对于 OPTIONS 请求,直接返回 204 状态码并终止请求处理。
-
CorsByRules中间件:- 根据配置文件中的规则(如白名单)处理跨域请求。
- 如果模式为
allow-all,则直接使用Cors中间件。 - 否则,检查请求来源是否在白名单中,如果在白名单中,则添加相应的 CORS 头部。
- 如果严格白名单模式且请求来源不在白名单中,拒绝处理请求。
- 对于 OPTIONS 请求�,无论是否通过检查,都返回 204 状态码并终止请求处理。
这是一个较为复杂的 CORS 中间件实现,适用于需要根据配置动态处理 CORS 请求的场景。
使用示例
以下是如何在 Gin 路由中使用这些中间件的示例:
package main
import (
"github.com/gin-gonic/gin"
"path/to/your/middleware"
)
func main() {
r := gin.Default()
// 使用 Cors 中间件
r.Use(middleware.Cors())
// 或者使用 CorsByRules 中间件
// r.Use(middleware.CorsByRules())
r.GET("/ping", func(c *gin.Context) {
c.JSON(200, gin.H{
"message": "pong",
})
})
r.Run() // 监听并在 0.0.0.0:8080 上启动服务
}
在上面的示例中,可以选择使用 Cors 中间件或 CorsByRules 中间件来处理跨域请求。