golang http 允许带有 www 和不带 www 的某些域名

Question

我正在编写一个 golang api。我对 cors 使用以下函数

func ResponseWithJSON(w http.ResponseWriter, json []byte, code int) {
    w.Header().Set("Content-Type", "application/json; charset=utf-8")
    w.Header().Set("Access-Control-Allow-Origin", "*")
    w.WriteHeader(code)
    w.Write(json)
}

这使任何人都可以访问我的 api。我想将其限制为我的域名。因为这听起来更安全。让我们称之为 www.example.com

我可以改成

 w.Header().Set("Access-Control-Allow-Origin", "http://www.example.com")

这将允许我在 url 是 www.example.com 而不是 example.com 时拨打电话

然后我可以将其更改为

w.Header().Set("Access-Control-Allow-Origin", "http://example.com")

现在我可以从 example.com 访问我的 api，但不能从 www.example.com 访问

两者都添加不起作用 也不这样

w.Header().Set("Access-Control-Allow-Origin", "http://www.example.com,http://example.com")

也不这样

w.Header().Set("Access-Control-Allow-Origin", "http://www.example.com")
w.Header().Set("Access-Control-Allow-Origin", "http://example.com")

那么，有没有办法让我获得请求的来源？所以我可以动态地允许域？我还有其他方法可以解决这个问题吗？

Answer 1

我发现 Origin 信息在 http.Request 对象中。您可以使用

获取原点

origin := r.Header.Get("Origin");

假设你有一个类似的对象

r *http.Request

如果对象来自 example.com，它将返回 example.com，同样返回 www.example.com。然后，您可以测试它是否是这两个值之一作为身份验证的方式。

Answer 2

Access-Control-Allow-Origin 标头仅支持单个值，因此您必须检查 Host 请求标头，然后根据该标头做出决定：

package main

import "net/http"

func myHandler(w http.ResponseWriter, r *http.Request) {
    switch host := r.Header.Get("Host"); host {
    case "www.example.com", "example.com":
            w.Header().Set("Access-Control-Allow-Origin", "http://"+host)
    }
}

并不是说 Host 标头有时会被代理服务器更改。然后，他们通常会添加 X-Forwarded-Host 标头或类似标头。但是，仅在您信任代理的情况下进行检查（以及如何建立这种信任是另一个问题）。