跨源资源共享

实例

运行在http://localhost:8082端口的前端服务器express和运行在http://localhost:8080端口的后端服务器golang net/http。前端的javaScript代码使用fetch()函数发起一个到http://localhost:8080/api/students的请求。

后端代码：

/server/main.go

import (
    "encoding/json"
    "fmt"
    "net/http"

    _ "github.com/go-sql-driver/mysql"
    "github.com/jmoiron/sqlx"
)

var db *sqlx.DB

type Student struct {

    ID   int64
    Name string
    Sex  string
    Age  int64
}


// 连接数据库
func init(){
    
    dns := "user:pwd@tcp(localhost:3306)/db_name?charset=utf8&
    parseTime=True&
loc=Local"
    db, err = sqlx.Open("mysql", dns)
    if err != nil {

        fmt.Println(err)
        return
    }

    db.SetMaxOpenConns(2000)
    db.SetMaxIdleConns(1000)
}


// 获取所有学生信息(数据自己事先插入)
func GetAllStudent() []Student {

    sqlStr := "SELECT * FROM student"
    students := make([]Student, 0)
    rows, _ := db.Query(sqlStr)
    student := Student{
}

    for rows.Next() {
    
        rows.Scan(&
    student.ID, &
    student.Name, &
    student.Sex, &
student.Age)
        students = append(students, student)
    }

    defer rows.Close()
    return students
}


func GetAllStudentInfo(w http.ResponseWriter, r *http.Request) {

    students := GetAllStudent()
    resp := make(map[string]interface{
}
)
    resp["msg"] = "成功"
    resp["code"] = "200"
    resp["data"] = students
    jsonResp, err := json.Marshal(resp)
    if err != nil {

        fmt.Println(err)
        return
    }

    w.Write(jsonResp)
}


func main() {

    http.HandleFunc("/api/students", GetAllStudentInfo)
    http.ListenAndServe(":8080", nil)
}
    

前端代码：

没有下载express的在/client目录执行：

npm install express --save-dev

/client/main.js

import express from 'express'

// 返回了一个服务器对象
const app = express()
// express.static(): 指定静态资源所在目录
app.use(express.static('./'))
app.listen(8082)

启动前端服务器：node main.js

/client/students.html

!DOCTYPE html>
    
html lang="zh">
    
head>
    
    meta charset="UTF-8">
    
    title>
    学生信息/title>
    
/head>
    
body>
    
    script>

        // 以同步方式获取响应
        async function getStudents() {

            const promiseResp = await fetch("http://localhost:8080/api/students")
            const resp = await promiseResp.json()
            console.log(resp)
        }
    
        getStudents()
    /script>
    
/body>
    
/html>
    

访问：http://localhost:8082/students.html

可以看到控制台里打印的并不是我们预期的后端给的数据，这是为什么呢？

首先，我们要知道照成这个错误的原因是什么，我们先看整个请求相应的流程是什么样的：

问题清楚了，那么如何解决呢？

解决方法1：

交给后端来做

其实我们发送fetch请求的时候，如果你的发送者和你要访问的资源不同源的情况下，就会在请求中包含一个特殊的头Origin，这个头代表着发送者的源是谁，比如说我们这个例子里，发送者是students.html，它的源是localhost:8082，所以当students.html发一个请求给后端服务器的时候，就会携带Origin:http://localhost:8082，告诉后端服务器发送者来自于哪里（通俗来说就是，我是8082端口的人，我来要你8080端口的资源，你给不给吧），那么对于后端服务器这边来讲就要对这个请求做出选择了，如果允许8082访问自己的资源，就需要在响应里包含一个Access-Control-Allow-Origin头，如果不允许8082访问自己的资源，不加这个头即可。如果这个头的内容是Access-Control-Allow-Origin:http://localhost:8082，意思就是后端服务器这个响应只能给http://localhost:8082端口使用，别人不让用，如果这个头的内容是Access-Control-Allow-Origin:*，意思就是这个响应谁都可以用。

我们打开F12，查看网络：

可以看到请求头里是有一个上面说的Origin头，上面说了，只要他fetch发生了跨域，就会有一个Origin头。

我们来看服务器的响应，可以看到并没有做处理，服务器响应这边并没有Access-Control-Allow-Origin头，所以浏览器拿到这个响应之后报错了，发现后端服务器那边没有允许。

说到这里，想必也知道如何处理了，在后端服务器的响应里加入这个头，允许http://localhost:8082使用这个响应即可：

w.Header().Set("Access-Control-Allow-Origin", "http://localhost:8082")

重新启动后端服务器，刷新页面可以看到浏览器将响应给了students.html页面，此时在查看响应表头，就会发现有了Access-Control-Allow-Origin头：

解决方法2：

交给前端来做

除了上面说的解决方法1，还可以通过代理解决：

这次我们在前端服务器里加入了一个代理的插件，此时前端服务器就和浏览器有一个约定，原本浏览器有一部分请求发送给8082，有一部分发送给8080，这个新的约定就是说：

以后浏览器的所有请求都发给前端服务器8082，所以发请求就应该是向http://localhost:8082/api/students发了，可是8082并有这个数据呀，8080才有， 所以这个请求就要发给前端服务器的代理，然后由代理间接的再找8080请求数据，然后8080会把数据响应给8082，再由8082间接的返回给浏览器里的students.html

这时候我们来看，对于浏览器来说，有没有发生跨域问题？

并没有，因为它是向同源的8082发的请求，是没有Origin头的。

至于代理发的请求，它是通过JavaScript的API发请求，接响应的，是没有什么同源策略、跨域问题。

跨域和同源都是浏览器的特殊行为。

如何区分我这个请求到底是走8082还是走8080呢？

一般是通过请求的前缀路径来区分的，比如说需要找后端要的数据，咱们都给他加一个特殊的前缀/api/，这样只要你的请求是以/api/开头的，这些请求都是走代理，然后经过代理间接找后端请求的，如果你的请求没有加/api/这个前缀，这些请求就访问8082自己，找到这些网页资源。

看下面代码就明白了：

如果没有下载http-proxy-middleware，在/client目录执行：

npm install http-proxy-middleware --save-dev

/client/students.html

// 修改请求地址，由8080改为8082
const promiseResp = await fetch("http://localhost:8082/api/students")

/client/main.js

import express from 'express'
import {
 createProxyMiddleware }
 from 'http-proxy-middleware'

// 返回了一个服务器对象
const app = express()
// express.static(): 指定静态资源所在目录
app.use(express.static('./'))
// 添加代理，凡是以/api为前缀的，都代理到 http://localhost:8080
app.use('/api', createProxyMiddleware({

    target: "http://localhost:8080",
    changeOrigin: true
}
    
));
    

app.listen(8082)

重启前端服务：node main.js

再次访问http://localhost:8082/student.html

可以看到响应被获取到了：

查看网络，请求头里是没有Origin头的：

总结：

只要协议、主机、端口之一不同，就是不同源，比如：

http://localhost:8080/a和https://localhost:8080/b就不同源。

同源检查是浏览器的行为，而且只针对fetch、XMLHttpRequest请求

如果是其他客户端，例如golang net/http client、postman，他们是不做同源检查的。

通过表单提交，浏览器直接输入url地址这些方式发送的请求，也不会做同源检查。

1. 更多相关知识请参考：
   MDN：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
   
2. 补充：

Golang解决跨域的完整代码：

上面给的解决方法1，只是针对例子的简陋的版本，真正go通过CORS解决跨域问题的完整代码：

gin中间件：

func Cors(context *gin.Context) {

    method := context.Request.Method
     // 1. [必须]接受指定域的请求，可以使用*不加以限制，但不安全
    //context.Header("Access-Control-Allow-Origin", "*")
    context.Header("Access-Control-Allow-Origin", context.GetHeader("Origin"))
    fmt.Println(context.GetHeader("Origin"))
    // 2. [必须]设置服务器支持的所有跨域请求的方法
    context.Header("Access-Control-Allow-Methods", "POST, GET, PUT, DELETE, OPTIONS")
     // 3. [可选]服务器支持的所有头信息字段，不限于浏览器在"预检"中请求的字段
    context.Header("Access-Control-Allow-Headers", "Content-Type, Content-Length, Token")
     // 4. [可选]设置XMLHttpRequest的响应对象能拿到的额外字段
    context.Header("Access-Control-Expose-Headers", "Access-Control-Allow-Headers, Token")
    // 5. [可选]是否允许后续请求携带认证信息Cookir，该值只能是true，不需要则不设置
    context.Header("Access-Control-Allow-Credentials", "true")
    // 6. 放行所有OPTIONS方法
    if method == "OPTIONS" {

        context.AbortWithStatus(http.StatusNoContent)
        return
    }

    context.Next()
}
    

原生HTTP中间件：

func corsMiddleware(next http.Handler) http.Handler {

    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {

        // 1. [必须]接受指定域的请求，可以使用*不加以限制，但不安全
        // w.Header().Set("Access-Control-Allow-Origin", "*")
        w.Header().Set("Access-Control-Allow-Origin", r.Header.Get("Origin"))
        // 2. [必须]设置服务器支持的所有跨域请求的方法
        w.Header().Set("Access-Control-Allow-Methods", "POST,GET,PUT,DELETE,OPTIONS")
        // 3. [可选]服务器支持的所有头信息字段，不限于浏览器在"预检"中请求的字段
        w.Header().Set("Access-Control-Allow-Headers", "Content-Type,Content-Length,Token")
        // 4. [可选]设置XMLHttpRequest的响应对象能拿到的额外字段
        w.Header().Set("Access-Control-Expose-Headers", "Access-Control-Allow-Headers,Token")
        // 5. [可选]是否允许后续请求携带认证信息Cookir，该值只能是true，不需要则不设置
        w.Header().Set("Access-Control-Allow-Credentials", "true")
        next.ServeHTTP(w, r)
    }
)
}


func main() {

    http.Handle("/api/test", corsMiddleware(http.HandlerFunc(test)))
    http.ListenAndServe(":8080", nil)
}
    

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！