用于gin框架的CORS中间件,解决身份凭证和通配符不能同时设置问题,可同时配置附带身份凭证的请求和*通配符,chrome插件CORS跨域请求通配符

已于 2024-08-07 13:36:37 修改
阅读量200 收藏 5
点赞数 6
分类专栏: gin golang 网络安全 文章标签: gin chrome 前端 CORS 跨域请求 网络安全 中间件
于 2024-08-07 12:17:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tekin_cn/article/details/140988165
版权
golang 同时被 3 个专栏收录
123 篇文章 0 订阅
订阅专栏
gin
11 篇文章 0 订阅
订阅专栏
网络安全
2 篇文章 0 订阅
订阅专栏

用于gin框架的CORS中间件(当然,用在其他的框架和语言中相应的Header头设置和配置信息和应用原理都是一样的),解决Access-Control-Allow-Credentials  true身份凭证和 Access-Control-Allow-Origin: <origin> | 通配符不能同时设置问题,可同时配置附带身份凭证的请求和*通配符,以及在chrome插件中访问远程CORS跨域请求通配符问题等

yaml配置信息

注意修改相关的origin为你自己的, chrome插件的ID获取方式见  http跨域网络请求中的CORS(跨源资源共享) 那些事 -- HTTP跨域请求, chrome插件跨域请求使用详解, origin格式,origin通配符等-CSDN博客

app:
  baseUrl: http://localhost:8080

# 安全配置
security:
  # api接口允许跨域调用的origin列表 格式 {scheme}://{域名端口或扩展ID} 可以使用通配符 * 或者? , 注意域名最后不带/斜杠
  corsAllowOrigins:
  - "http://localhost"
  - "http://localhost:8080"
  - "*.tekin.cn"
  - "*.yunnan.ws"
  - "chrome-extension://*" # 这个是在chrome扩展里面调用的域 * 表示允许所有的扩展调用, 只允许指定扩展,如: "chrome-extension://iflfjlikpkacloanbaaokocoafabjndg"
  corsAllowHeaders: "Content-Type,AccessToken,X-CSRF-Token, Authorization, Token,X-Token,X-User-Id"

gin CORS中间件实现代码

 注意下面的代码中使用了viper来读取yaml中的配置信息,如果你使用其他配置信息读取方式,只需要修改viper相关的配置信息读取代码即可。

strutils字符串模式匹配工具库安装: go get -u github.com/tekintian/strutils

package middleware

import (
	"net/http"

	"github.com/gin-gonic/gin"
	"github.com/tekintian/strutils"
    "github.com/spf13/viper"
)
// gin CORS middleware	应用于gin框架的CORS中间件
// @author tekintian@gmail.com
func SecurityCORS(c *gin.Context) {
	method := c.Request.Method
	// 放行所有OPTIONS方法
	if method == "OPTIONS" {
		c.AbortWithStatus(http.StatusNoContent)
        return // 直接退出当前请求
	}
	// 获取当前请求的origin; 地址形式: scheme://domain 如  "http://localhost:8000"  注意origin的最后是没有 / 斜杠的
	origin := c.GetHeader("Origin")
	// 如果请求origin在允许的origin之中,则直接将当前请求的origin设置为允许的origin
	if isAllowOrigin(origin) {
		c.Header("Access-Control-Allow-Origin", origin)
	} else {
		// 不在允许范围,将配置中的域名作为允许origin设置
		c.Header("Access-Control-Allow-Origin", viper.String("app.baseUrl"))
	}
	// 附带身份凭证的请求, 注意这里如果是true, 则 Access-Control-Allow-Origin 不允许使用 * 通配符
	c.Header("Access-Control-Allow-Credentials", "true")
	// 设定允许的请求方式
	c.Header("Access-Control-Allow-Methods", "POST,GET,OPTIONS,DELETE,PUT,HEAD,PATCH")
	// 允许的请求头信息, 默认"Content-Type,X-CSRF-Token,Authorization,Token"
	c.Header("Access-Control-Allow-Headers", viper.String("security.corsAllowHeaders"))
	// 暴露头信息
	c.Header("Access-Control-Expose-Headers", "Content-Length, Access-Control-Allow-Origin, Access-Control-Allow-Headers, Content-Type, New-Token, New-Expires-At")
	// 处理请求
	c.Next()
}

// 检测当前origin是否是允许的origin
func isAllowOrigin(origin string) bool {
	// origin为空时 非跨域请求,直接放行
	if origin == "" {
		return true
	}
	corsAllowOrigins := viper.GetStringSlice("security.corsAllowOrigins")
	for _, v := range corsAllowOrigins {
		if v == origin || strutils.IsWmMatchingReg(origin, v) {
			return true
		}
	}
	return false
}

gin自定义中间件CORS使用示例

func main() {
	r := gin.New()
    
    // 使用自定义的CORS中间件
	r.Use(middleware.SecurityCORS)

	r.GET("/", func(c *gin.Context) {
		c.JSON(200, gin.H{
			"html": "<b>Hello, world!</b>",
		})
	})

	// 监听并在 0.0.0.0:8080 上启动服务
	r.Run(":8080")
}

tekin
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go语言中的gin框架中间件集合(七)
06-25
在本文中,我们将深入探讨Go语言中的Gin框架,特别是其强大的中间件系统。Gin是一个用Go编写的高性能Web框架,它提供了简洁的API来帮助开发者快速构建Web应用程序。中间件Gin中扮演着至关重要的角色,它们是处理...
gzip:用于Gin和nethttp的Golang gzip中间件| Golang gzip中间件,支持Gin和nethttp,开箱即用同时可定制
02-03
现成的,也是可定制的和gzip中间件。 例子 使用DefaultHandler()创建一个现成的gzip中间件。 杜松子酒 import github . com / nanmu42 / gzip func main () { g := gin . Default () // use default settings g ...
gin框架中使用中间件gin-contrib/cors处理跨域请求
mjiarong的博客
09-25 1831
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。IE8+:IE8/9需要使用XDomainRequest对象来支持CORS。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。
Gin CORS 跨域请求资源共享与中间件
淘小欣的博客
01-10 1331
同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现浏览器最基本的安全策略浏览器只能接收相同域(IP地址+端口)返回的数据CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。
探索Gin框架:Golang Gin框架请求参数的获取
qq_35716689的博客
02-06 29万+
我们在专栏的前面几篇文章内讲解了Gin框架的路由配置,服务启动等内容。在我们平常添加路由处理函数之后,就可以在路由处理函数中编写业务处理代码了,但在此之前我们往往需要获取请求参数,本文就详细的讲解下gin获取请求参数常见的几种方式。目录前言传递参数的方式HeaderURLHTTP Body直接获取请求参数获取URL Path中的参数获取URL Query中的参数获取HTTP Body中的参数绑定请求参数绑定Header参数绑定URL Path参数绑定URL Query参数绑定HTTP Body参数。
gin框架解决cors跨域
qq_44472790的博客
01-07 891
cors跨域方案解决笔记
gin 框架基于中间件身份验证和权限验证
weapon_host的博客
02-23 2449
本模块创作基于gin 框架路由匹配和Django 的身份验证和权限验证创作的,目前主要实现了身份验证,基于路由配置自动匹配需要验证的路由,另外可以通过配置实现不同路由匹配不同身份验证方式 . git地址: https://github.com/xxxxxxming/authtest 后续有时间持续更新该模块 模块主要由三个文件组成,分别是路由处理,身份认证,中间件拦截. 代码如下: 1. 路由处理,包含路由数创建和路由解析 package utils import ( "bytes" "str
【从java到Go】解决GinCORS跨域
幽灵雾的专栏
10-01 1758
基于java基础,快速学习Golang 解决GinCORS跨域
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
qq_35716689的博客
02-04 30万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
问题解决方法: gin-contrib/cors给group路径下添加cors时,OPTIONS请求得到404响应
Chrispink
03-09 3488
问题描述 使用gin-contrib/cors想给gin的路由router添加CORS支持时, 如果只把cors中间件添加在某个group中, 会对浏览器发来的OPTIONS跨域请求返回404, 使跨域请求无法进行. 问题代码 package main import ( "github.com/gin-contrib/cors" "github.com/gin-gonic/gin" "ne...
探索Gin框架:快速构建高性能的Golang Web应用
热门推荐
qq_35716689的博客
01-23 43万+
Gin框架是一个轻量级的Web框架,基于Go语言开发,旨在提供高性能和简洁的API。作者:鼠鼠我捏,要死了捏
gin框架安装以及gin请求路由
01-20
本文将介绍如何在Windows环境下安装Gin框架,并讲解如何使用Gin进行请求路由的设置。 首先,安装Gin框架前需要确保你已经安装了Git和Go语言环境。在Windows上,你可以访问官方网站下载并安装Git和Go。Go的安装路径...
Go语言中的gin框架之GET/POST请求参数接收传值(五)
06-15
在这个文件中,我们需要导入Gin设置路由来处理GET和POST请求: ```go package main import "github.com/gin-gonic/gin" func main() { r := gin.Default() // GET请求参数 r.GET("/get", func(c *gin....
gin-jwt:用于Gin http框架的JWT中间件
05-01
用于Gin http框架的JWT中间件。 验证令牌,然后将声明有效负载添加到请求上下文中。 用法 package main import ( "github.com/dgrijalva/jwt-go" "github.com/gin-gonic/gin" "github....
gin框架传入的gin.context参数是池化的
silver9886的专栏
08-05 160
统一入口,将*gin.Context转化为context.Background(),调用controller。将context作为参数传递,而不再使用*gin.Context作为参数。2. 实现了context接口,导致context.withvalue(*gin.context,key,value).并不会有编译错误。2. 但是gin.context又实现了context的接口。因此,可以当作context去使用。1. 池化导致了复用后的ctx将会将之前使用的ctx中的内容进行覆盖。
【协作提效 Go - gin ! swagger】
qq_38428433的博客
08-02 557
Swagger 是一个用于设计、构建、记录和使用 RESTful Web 服务的工具集。而对于我们的研发团队来说,swagger可以清晰的定义接口,即是代码也是文档,大大提升了前后端沟通的效率,团队内协作的效率!而Go - Gin框架支持Swagger,下面一步一步来看下如何使用库来生成和展示接口文档。
gin-vue-admin框架遇到AxiosError:Network Error怎么解决
最新发布
weixin_45939821的博客
08-06 84
使用vscode打开web目录,无论是否使用goland运行server目录,都出现这个问题是怎么回事。
Go Web 项目使用 Gin 框架:Hello World 示例
一起coding,一起嗨。
08-06 519
Go Web 项目使用 Gin 框架:Hello World 示例
gin框架接收post请求中间件处理
05-27
要在gin框架中接收POST请求并在请求到达处理程序之前进行中间件处理,可以使用gin中间件功能。以下是一个示例中间件,它可以将POST请求请求体中的JSON解析为一个结构体,并将其绑定到请求的上下文中: ```go func JsonMiddleware() gin.HandlerFunc { return func(c *gin.Context) { if c.Request.Method == "POST" { var data interface{} err := c.BindJSON(&data) if err != nil { c.AbortWithStatusJSON(http.StatusBadRequest, gin.H{"error": err.Error()}) return } c.Set("json_data", data) } c.Next() } } ``` 在这个中间件中,我们首先检查请求的HTTP方法是否为POST。如果是,我们尝试将请求体中的JSON解析为一个结构体。如果解析失败,我们返回一个HTTP 400错误响应,并终止请求。否则,我们将解析后的数据绑定到请求上下文的“json_data”键中,并继续处理请求。 要在gin应用程序中使用这个中间件,我们只需要在路由注册之前将其添加到应用程序的中间件链中: ```go router := gin.Default() router.Use(JsonMiddleware()) router.POST("/my-endpoint", func(c *gin.Context) { data := c.MustGet("json_data") // 处理请求数据 }) ``` 在这个示例中,我们使用gin.Default()创建一个新的路由器实例,并使用JsonMiddleware()函数添加一个中间件到路由器的中间件链中。然后,我们注册一个POST处理程序,该处理程序使用c.MustGet("json_data")从请求上下文中获取JSON解析后的数据,并对数据进行处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值