问题起因

前后端分离,前端要访问后端资源,而且需要携带cookie信息,这时碰到了跨域问题。一开始以为设置为允许跨域allow_origins为即可。可是浏览器还是拦截的请求,于是查看跨域规则,原来跨域allow_origins为时,只允许简单的跨域,比如get,post,但是如果携带cookie,则会出现失败。

思路

后来查看文档,原来按照跨域请求的规则,当跨域和来源一致时才可以携带cookie。详情见阮一峰的博客

echo框架中的解决办法

有了思路就好办了,echo框架中的跨域设置不够详细,做不到设置来源跨域。于是我修改了一下其中的跨域中间件,增加了一子域名的跨域。

实际上可以修改为,任意来源的跨域,但是这样就不能保证安全了,不过如果是做接口平台倒是可以这么办。

完整代码为:

package echo_cors

import (

	"net/http"

	"strconv"

	"strings"

	"github.com/labstack/echo"

	"github.com/labstack/echo/middleware"

)

type (

	// CORSConfig defines the config for CORS middleware.

	CORSConfig struct {

		// Skipper defines a function to skip middleware.

		Skipper middleware.Skipper

		// AllowOrigin defines a list of origins that may access the resource.

		// Optional. Default value []string{"*"}.

		AllowOrigins []string `json:"allow_origins"`

		// AllowMethods defines a list methods allowed when accessing the resource.

		// This is used in response to a preflight request.

		// Optional. Default value DefaultCORSConfig.AllowMethods.

		AllowMethods []string `json:"allow_methods"`

		// AllowHeaders defines a list of request headers that can be used when

		// making the actual request. This in response to a preflight request.

		// Optional. Default value []string{}.

		AllowHeaders []string `json:"allow_headers"`

		// AllowCredentials indicates whether or not the response to the request

		// can be exposed when the credentials flag is true. When used as part of

		// a response to a preflight request, this indicates whether or not the

		// actual request can be made using credentials.

		// Optional. Default value false.

		AllowCredentials bool `json:"allow_credentials"`

		// ExposeHeaders defines a whitelist headers that clients are allowed to

		// access.

		// Optional. Default value []string{}.

		ExposeHeaders []string `json:"expose_headers"`

		// MaxAge indicates how long (in seconds) the results of a preflight request

		// can be cached.

		// Optional. Default value 0.

		MaxAge         int `json:"max_age"`

		AllowSubDomain bool

		MainDomain     string

		AllowAllHost   bool

	}

)

var (

	// DefaultCORSConfig is the default CORS middleware config.

	DefaultCORSConfig = CORSConfig{

		Skipper:      middleware.DefaultSkipper,

		AllowOrigins: []string{"*"},

		AllowMethods: []string{echo.GET, echo.HEAD, echo.PUT, echo.PATCH, echo.POST, echo.DELETE},

	}

)

// CORS returns a Cross-Origin Resource Sharing (CORS) middleware.

// See: https://developer.mozilla.org/en/docs/Web/HTTP/Access_control_CORS

func CORS() echo.MiddlewareFunc {

	return CORSWithConfig(DefaultCORSConfig)

}

// CORSWithConfig returns a CORS middleware with config.

// See: `CORS()`.

func CORSWithConfig(config CORSConfig) echo.MiddlewareFunc {

	// Defaults

	if config.Skipper == nil {

		config.Skipper = DefaultCORSConfig.Skipper

	}

	if len(config.AllowOrigins) == 0 {

		config.AllowOrigins = DefaultCORSConfig.AllowOrigins

	}

	if len(config.AllowMethods) == 0 {

		config.AllowMethods = DefaultCORSConfig.AllowMethods

	}

	allowMethods := strings.Join(config.AllowMethods, ",")

	allowHeaders := strings.Join(config.AllowHeaders, ",")

	exposeHeaders := strings.Join(config.ExposeHeaders, ",")

	maxAge := strconv.Itoa(config.MaxAge)

	return func(next echo.HandlerFunc) echo.HandlerFunc {

		return func(c echo.Context) error {

			if config.Skipper(c) {

				return next(c)

			}

			req := c.Request()

			res := c.Response()

			origin := req.Header.Get(echo.HeaderOrigin)

			allowOrigin := ""

			// Check allowed origins

			for _, o := range config.AllowOrigins {

				if o == "*" || o == origin {

					allowOrigin = o

					break

				}

			}

			if config.AllowSubDomain && config.MainDomain != "" {

				if strings.Contains(origin, config.MainDomain) {

					allowOrigin = origin

				}

			}

			if config.AllowAllHost {

				allowOrigin = c.Scheme()+"://"+req.Host

			}

			// Simple request

			if req.Method != echo.OPTIONS {

				res.Header().Add(echo.HeaderVary, echo.HeaderOrigin)

				res.Header().Set(echo.HeaderAccessControlAllowOrigin, allowOrigin)

				if config.AllowCredentials {

					res.Header().Set(echo.HeaderAccessControlAllowCredentials, "true")

				}

				if exposeHeaders != "" {

					res.Header().Set(echo.HeaderAccessControlExposeHeaders, exposeHeaders)

				}

				return next(c)

			}

			// Preflight request

			res.Header().Add(echo.HeaderVary, echo.HeaderOrigin)

			res.Header().Add(echo.HeaderVary, echo.HeaderAccessControlRequestMethod)

			res.Header().Add(echo.HeaderVary, echo.HeaderAccessControlRequestHeaders)

			res.Header().Set(echo.HeaderAccessControlAllowOrigin, allowOrigin)

			res.Header().Set(echo.HeaderAccessControlAllowMethods, allowMethods)

			if config.AllowCredentials {

				res.Header().Set(echo.HeaderAccessControlAllowCredentials, "true")

			}

			if allowHeaders != "" {

				res.Header().Set(echo.HeaderAccessControlAllowHeaders, allowHeaders)

			} else {

				h := req.Header.Get(echo.HeaderAccessControlRequestHeaders)

				if h != "" {

					res.Header().Set(echo.HeaderAccessControlAllowHeaders, h)

				}

			}

			if config.MaxAge > 0 {

				res.Header().Set(echo.HeaderAccessControlMaxAge, maxAge)

			}

			return c.NoContent(http.StatusNoContent)

		}

	}

}

用法

已经放到github

这里增加了三个变量,AllowSubDomain,允许二级域名,MainDomain根域名,AllowAllHost 允许所有的跨域

  • CORSWithConfig(CORSConfig{AllowCredentials:true,AllowSubDomain:true,MainDomain:"main.com"}) 允许子域名跨域
  • CORSWithConfig(CORSConfig{AllowCredentials:true,AllowAllHost:true})

    对于js,也要做对应修改,axios的修改如下:
const Axios = axios.create({

    headers: {

        'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8'

    },

    withCredentials: true

});

Axios.interceptors.request.use(

    config => {

        if (config.method === 'post' || config.method === 'put') {

            if (config.data) {

                var queryString = Object.keys(config.data)

                    .map(key => {

                        return encodeURIComponent(key) + '=' + encodeURIComponent(config.data[key]);

                    })

                    .join('&');

                config.data = queryString;

            }

            return config;

        }

        return config;

    },

    error => {

        return Promise.reject(error);

    }

);

带cookie跨域问题的思路以及echo的解决方案的更多相关文章

  1. 基于Cookie跨域的单点登录问题

    由于项目中,需要用的单点登录,主要的思路是:系统1:用户名密码-->写入Cookie-->其他系统读取Cookie. 1.在同一个服务器下的Cookie共享 @Component(&quo ...

  2. 解决cookie跨域访问

    一.前言 随着项目模块越来越多,很多模块现在都是独立部署.模块之间的交流有时可能会通过cookie来完成.比如说门户和应用,分别部署在不同的机器或者web容器中,假如用户登陆之后会在浏览器客户端写入c ...

  3. cookie 跨域访问的解决方案

    Cookie 同域单点登录  最近在做一个单点登录的系统整合项目,之前我们使用控件实现单点登录(以后可以介绍一下).但现在为了满足客户需求,在不使用控件情况下实现单点登录,先来介绍一下单点登录.    ...

  4. asp.net关于Cookie跨域(域名)的问题

    Cookie是一个伟大的发明,它允许Web开发者保留他们的用户的登录状态.但是当你的站点有一个以上的域名时就会出现问题了.在Cookie规范上 说,一个cookie只能用于一个域名,不能够发给其它的域 ...

  5. golang-在gin中cookie跨域设置(配合ajax)

    1.当我在golang中,在前后端分离的情况下使用cookies时发现,跨域没有被允许.代码如下: func AccessJsMiddleware() gin.HandlerFunc { return ...

  6. nginx处理cookie跨域

    今天在部署公司项目的时候碰到一个问题 项目地址是xxx.xx.xx.122:7480 项目A后台请求地址为xxx.xx.xx.123:8080/data-sso 开始nginx配置是 server { ...

  7. 解决前后端分离后的Cookie跨域问题

    一. 前端Ajax关键配置 $.ajax({ type: "post", url: xxx, data: xxx, contentType: 'application/json', ...

  8. cookie 跨域解决方法

    1.Nginx 正向和反向代理的区别 正向代理和反向代理的区别:正向代理隐藏真实客户端,反向代理隐藏真实服务端,图示: 2.cookie跨域问题 因为cookie存在跨域问题,其中一个解决方法是,设置 ...

  9. Iframe和Frame中实现cookie跨域的方法(转载)

    在Iframe和Frame中默认是不支持Cookie跨域的,但通过设置P3P协议相关的响应头可以解决这一问题.关于p3p协议: P3P: Platform for Privacy Preference ...

随机推荐

  1. IntelliJ IDEA(九) :插件(转)

    最近项目比较忙,很久没有更新IDEA系列了,今天介绍一下IDEA的一些炫酷的插件,IDEA强大的插件库,不仅能给我们带来一些开发的便捷,还能体现我们的与众不同. 0|11.插件的安装 打开settin ...

  2. 算法进阶面试题02——BFPRT算法、找出最大/小的K个数、双向队列、生成窗口最大值数组、最大值减最小值小于或等于num的子数组数量、介绍单调栈结构(找出临近的最大数)

    第二课主要介绍第一课余下的BFPRT算法和第二课部分内容 1.BFPRT算法详解与应用 找到第K小或者第K大的数. 普通做法:先通过堆排序然后取,是n*logn的代价. // O(N*logK) pu ...

  3. sublime使用技巧之添加到右键菜单、集成VI

    熟悉开发工具,减少多余的操作流程有助于提高开发效率,而Sublime Text 2是sublime产品的经典版本,因此本文基于Sublime Text 2讲解sublime的使用技巧. VI的主要作用 ...

  4. Linux配置Redis外网访问

    下载:redis-3.2.5.tar.gz 拷贝到指定目录解压:tar -xzvf redis-3.2.5.tar.gz 进入到解压目录redis-3.2.5下安装: makemake install ...

  5. 4609: [Wf2016]Branch Assignment 最短路 DP (阅读理解题)

    Bzoj的翻译出锅了所以来官方题面:这个题应该是单向边而BZOJ说的是双向边,什么你WA了?谁叫你懒得看英文...... 显然我们能正向反向两遍SPFA处理出每个点到总部的距离和总部到每个点的距离.如 ...

  6. 洛谷P2879 [USACO07JAN]区间统计Tallest Cow

    To 洛谷.2879 区间统计 题目描述 FJ's N (1 ≤ N ≤ 10,000) cows conveniently indexed 1..N are standing in a line. ...

  7. config、option、setting辨析

    作为一个编程新手,在软件目录中常常会看到这几个词,尤其 config . setting 翻译成中文区别不是很大,总让人有点区分不了他们的使用场景.在知乎上看到了关于这个问题的讨论觉得受益挺大的,自己 ...

  8. 使用C3P0报错:java.lang.NoClassDefFoundError: com/mchange/v2/ser/Indirector

    错误提示: java.lang.NoClassDefFoundError: com/mchange/v2/ser/Indirector at JDBC.ConnectionPool.testC3P0( ...

  9. Android中Local Service最本质的作用是什么?

    把Service等同于thread或process是一个非常常见的误解.需要强调又强调的第一点是,Android的Service是一个Context,并不必然等于一个额外的thread.如果你有仔细看 ...

  10. 奇怪吸引子---Halvorsen

    奇怪吸引子是混沌学的重要组成理论,用于演化过程的终极状态,具有如下特征:终极性.稳定性.吸引性.吸引子是一个数学概念,描写运动的收敛类型.它是指这样的一个集合,当时间趋于无穷大时,在任何一个有界集上出 ...