cors跨域问题解决

原创 已于 2025-09-29 13:42:20 修改 · 866 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cros

于 2025-09-29 13:29:26 首次发布

golang后端框架gin如果设置了分组的group请求前缀,跨域有些不一样。

r1 := gin.Default()
	r := r1.Group("/game")
	webSocket := server.NewWebSocket()
	r1.NoRoute(cors.New(
		cors.Config{
			AllowOrigins: allowOrigins,
			AllowMethods: []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},
			AllowHeaders: []string{
				"*",
			},
			AllowCredentials: true,
			MaxAge:           12 * time.Hour,
		},
	))
	// websocket单独处理,正常http请求按照router.Register方式来写
	r.Use(
		cors.New(
			cors.Config{
				AllowOrigins: allowOrigins,
				AllowMethods: []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},
				AllowHeaders: []string{
					"*",
				},
				AllowCredentials: true,
				MaxAge:           12 * time.Hour,
			},
		),
	).Use(TraceIDHandler()).Use(timeoutMiddleware()).Use(gin.CustomRecovery(customRecoveryHandler)).
		Use(RequestUserInfo()).Use(RequestLogMiddleware()).Use(ResponseHeaderSet())
r.Group.POST(path, r.Handle)

通过查看

r.Group.POST(path, r.Handle)的源码得知:


func (group *RouterGroup) handle(httpMethod, relativePath string, handlers HandlersChain) IRoutes {
	absolutePath := group.calculateAbsolutePath(relativePath)
	handlers = group.combineHandlers(handlers)
	group.engine.addRoute(httpMethod, absolutePath, handlers)
	return group.returnObj()
}

如果写了

r.POST(path, r.Handle),则以上源码中的
group.engine.addRoute(httpMethod, absolutePath, handlers)
只会将post方法对应的跨域用的cors的handler来处理注册到engine中。而对于options方法的请求是不会用这个handlers来处理的。

如果想解决此问题,有两个方案:
1. 对于post/get等请求,不只是写

r.POST(path, r.Handle),而是增加r.OPTIONS(path, r.Handle),将options也写入到engine的处理的method中

2. 增加这个方法:

r1.NoRoute(cors.New(
    cors.Config{
       AllowOrigins: allowOrigins,
       AllowMethods: []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},
       AllowHeaders: []string{
          "*",
       },
       AllowCredentials: true,
       MaxAge:           12 * time.Hour,
    },
))

这是告诉engine。如果存在不理解的method。则用norout中定义的hanlder处理。那么我们这里定义了cors的hanlder方法。因为options没有在engine中注册过,因此会采用这个noroute中注入的hanler cors来处理。也满足条件。我在代码中就是用的这种方式

二. 进入cros的判断

如果前端发送请求时没有配置credentials: 'include'。则前端的header中即使有'Authorization': 'Bearer xxxx'头,浏览器依然不认为则是一个'带有凭据'的请求。

1. 如果不设置credentials: 'include',则后端设置AllowOrigins具体的域名,AllowHeaders设置为*,都可以通过跨域请求


但是如果如下设置:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>跨域测试页面</title>
    <script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>
</head>
<body>
<h1>跨域测试</h1>
<div>
    <input type="button" οnclick="mySubmit()" value=" 发送跨域请求 ">
</div>
<script>
    function mySubmit() {
fetch("http://localhost:8082/game/v1/new_game", {
        method: "POST",
        credentials:"include",
        headers: {
            'Content-Type': 'application/json; charset=utf-8',
            'Authorization': 'Bearer xxxx'
        },
        body: JSON.stringify({"name": "Java"})
    })
    .then(response => response.json())
    .then(result => alert("返回数据:" + result.data))
    .catch(error => console.error('Error:', error));
    }
</script>
</body>
</html>

增加了credentials:"include",

根据cors的规范:

禁止在Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true的时候,前端发送带有凭据的请求能够通过cros。


2. 实际测试过程中发现会更严格;
即使设置了AllowOrigins,但是AllowHeaders设置为*。也是无法通过跨域请求的。

r1.NoRoute(cors.New(
    cors.Config{
       AllowOrigins: allowOrigins,
       AllowMethods: []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},
       AllowHeaders: []string{
          "*",
       },
       AllowCredentials: true,
       MaxAge:           12 * time.Hour,
    },
))

必须指定AllowHeaders。同时,不能只设置r1.NoRoute,对实际的post请求也要设置好,也就是

r.Use(也要对AllowHeaders进行指定。

3. 通过测试来看,似乎前端不增加 credentials:"include",的话,后端的

AllowHeaders选择通配符是能够跨域成功的。

silver9886
关注
CORS问题全解:原理、问题解决方案
私聊前往站内信:https://i.csdn.net/#/msg/chat/weixin_44976692
08-19 2万+
在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一种重要的安全策略。它限制了从一个源(协议、名和端口)加载的文档或脚本,与来自不同源的资源进行交互。这种限制防止了恶意网站在未经用户同意的情况下访问敏感数据。CORS是W3C标准之一,用于绕过同源策略的限制。在CORS机制下,服务器通过设置适当的HTTP头,告知浏览器允许哪些源访问其资源。CORS请求分为两类:简单请求(Simple Requests)和预检请求(Preflight Requests)。问题描述。
GIN框架Cors解决记录
qq_42860875的博客
10-26 480
结论:因为route都是/device,所以OPTIONS的请求发给了r.GET(/device),导致OPTION的回应的origins给了get请求头,所以POST,请求失败。把route url区分开,解决。出问题的rougte配置如下,用了方法一和方法二设置Cors,但是死活走不通。1、浏览器会先发个OPTIONS预询问。一、用gin官方的cors中间件。3、浏览器发送正式请求。2、服务器响应允许请求的POST的流程。二、是自己写个中间件。
解决CORS问题
学习总结
03-05 1748
CORS问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。
CORS问题解决方案详解
威哥爱编程,华为 HDE,鸿蒙极客、CSDN博客专家、《HarmonyOS NEXT 开发之路》系列图书作者
02-25 862
所以什么是问题呢,V 哥来小结一下,问题源于浏览器的同源策略,即浏览器在访问资源时要求该资源的协议、名和端口与当前页面完全一致,否则视为请求并进行限制。产生的原因是:不同源(协议、名、端口任意一项不同)的页面之间进行资源请求时触发,如前端 http://localhost:3000 向 http://localhost:8080 的后端发起请求解决方法可以使用注解方式或全局配置。需要注意的是,本身不直接影响性能,但处理过程及相关情况会带来间接影响。关注威哥爱编程,全栈之路就你行。
CORS 问题解决&&预检(OPTIONS)请求解释
热门推荐
weixin_42118323的博客
04-15 1万+
浏览器使用 OPTIONS 方法发起一个预检请求(preflight request),来感知服务端是否允许该请求,服务器确认允许之后,才发起实际的 HTTP 请求,OPTIONS 请求没有附带请求数据,响应体也为空,简单来说就是一种探测,这就是预检请求,是浏览器的一种保护机制。简单请求的对立面就是非简单请求,也就是说不能同时满足简单请求条件的请求就是非简单请求,就可能会触发预检(OPTIONS)请求。Nginx 增加配置解决问题,只使用一种解决问题即可,不要同时配置多个。
flask cors 问题解决
卫龙的博客
11-18 748
怎么简单怎么来,以实现功能为主。
CORS解决问题
weixin_68901096的博客
03-19 2016
text/plain;请求中的任意对象均没有注册任何事件监听器;请求中没有使用对象。请求中没有手动设置过请求头(例如,使用。
CORS问题常见解决办法
csdnuu123的博客
02-21 2776
CORS 是一种浏览器安全机制,用于防止资源请求带来的潜在安全风险。浏览器在执行请求时,会检查目标服务器是否允许访问。如果服务器没有正确设置 CORS 头信息,浏览器将阻止请求,并返回 CORS 错误。
如何解决CORS问题
superioc的博客
03-30 1816
:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
CORS问题解决方法
weixin_49376454的博客
06-03 1127
CORS问题解决方法
Spring boot 和Vue开发中CORS问题解决
10-18
本文旨在详细阐述CORS问题的背景、解决方法以及如何在Spring Boot和Vue.js的结合使用场景下处理问题。 ### CORS问题背景 CORS全称是Cross-Origin Resource Sharing,即源资源共享。这个概念是W3C的...
C# WebApi CORS问题解决方案
08-27
C# WebApi CORS问题解决方案 在Web开发中,问题是一个常见的挑战,尤其在使用C# WebApi构建后端服务时。为了解决这个问题,我们可以利用CORS资源共享)机制。本文将深入探讨CORS的背景、工作原理以及...
精选资源
cors问题对应的jar包.zip
08-19
"cors问题对应的jar包.zip"这个压缩包文件包含了处理问题所需的两个关键库:`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`。`cors-filter`是一个实现了CORS规范的Java过滤器,它允许我们在Tomcat...
ACM-ICPC/CCPC/XCPC算法竞赛资料kmeans聚类
12-18
ACM-ICPC/CCPC/XCPC算法竞赛资料kmeans聚类
【CAOA三维路径规划】基于matlab鳄鱼伏击算法CAOA多无人机协同集群避障路径规划(目标函数:最低成本:路径、高度、威胁、转角)(Matlab代码实现)
最新发布
12-18
【CAOA三维路径规划】基于matlab鳄鱼伏击算法CAOA多无人机协同集群避障路径规划(目标函数:最低成本:路径、高度、威胁、转角)(Matlab代码实现)内容概要:本文介绍了基于Matlab的鳄鱼伏击算法(CAOA)在多无人机协同集群三维路径规划中的应用,重点解决动态环境下的避障问题。该方法以最低成本为目标函数,综合考虑路径长度、飞行高度、威胁等级和转弯角度等因素,通过优化算法实现无人机集群的安全、高效路径规划。文中提供了完整的Matlab代码实现,便于科研人员复现与改进,适用于复杂环境下的无人机协同任务。; 适合人群:具备一定Matlab编程基础,从事无人机路径规划、智能优化算法或协同控制研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①研究多无人机在复杂三维环境中的协同避障路径规划;②验证和改进鳄鱼伏击算法(CAOA)在实际路径规划中的性能;③实现以最低综合成本为目标的智能路径优化,提升无人机集群的任务执行效率与安全性。; 阅读建议:建议读者结合提供的Matlab代码进行实践操作,深入理解目标函数构建、约束条件处理及算法迭代过程,同时可尝试将算法扩展至更多动态障碍物或更大规模无人机集群场景中进行测试与优化。
基于径向基函数神经网络RBFNN的自适应滑模控制学习(Matlab代码实现)
12-18
基于径向基函数神经网络RBFNN的自适应滑模控制学习(Matlab代码实现)内容概要:本文介绍了基于径向基函数神经网络(RBFNN)的自适应滑模控制方法,并提供了相应的Matlab代码实现。该方法结合了RBF神经网络的非线性逼近能力和滑模控制的强鲁棒性,用于解决复杂系统的控制问题,尤其适用于存在不确定性和外部干扰的动态系统。文中详细阐述了控制算法的设计思路、RBFNN的结构与权重更新机制、滑模面的构建以及自适应律的推导过程,并通过Matlab仿真验证了所提方法的有效性和稳定性。此外,文档还列举了大量相关的科研方向和技术应用,涵盖智能优化算法、机器学习、电力系统、路径规划等多个领,展示了该技术的广泛应用前景。; 适合人群:具备一定自动控制理论基础和Matlab编程能力的研究生、科研人员及工程技术人员,特别是从事智能控制、非线性系统控制及相关领的研究人员; 使用场景及目标:①学习和掌握RBF神经网络与滑模控制相结合的自适应控制策略设计方法;②应用于电机控制、机器人轨迹跟踪、电力电子系统等存在模型不确定性或外界扰动的实际控制系统中,提升控制精度与鲁棒性; 阅读建议:建议读者结合提供的Matlab代码进行仿真实践,深入理解算法实现细节,同时可参考文中提及的相关技术方向拓展研究思路,注重理论分析与仿真验证相结合。
STM32F407-RT-Thread-CAN工程代码
12-18
STM32F407芯片,开发环境:RT-Thread Stdio开发环境,使用内部drv_can实现can功能,官方的drv_can.c文件中对于stm32f407的位时序配置错误,已修改位时序,但是800k的CAN速率,由于CAN时钟为42M的原因,无法整除(42/0.8=52.5),导致800k的速率无法使用.
安卓应用源码Android闹钟源码
12-18
安卓应用源码Android 闹钟源码
Java SpringBoot项目中CORS问题解决指南
根据提供的文件信息,我们来探讨关于Java CORS处理的知识点。首先需要指出的是,文件信息中的标题和描述是重复的,仅提供了zip文件的名称“provider-coustomer-CORS.zip”,但没有给出更具体的文件描述。而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值