return func(c *gin.Context) { origin := c.Request.Header.Get("origin") //请求头部 if len(origin) == 0 { origin = c.Request.Header.Get("Origin") } //接收客户端发送的origin (重要!) c.Writer.Header().Set("Access-Control-Allow-Origin", origin) //允许客户端传递校验信息比如 cookie (重要) c.Writer.Header().Set("Access-Control-Allow-Credentials", "true") c.Writer.Header().Set("Access-Control-Allow-Headers", "Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization, accept, origin, Cache-Control, X-Requested-With") //服务器支持的所有跨域请求的方法 c.Writer.Header().Set("Access-Control-Allow-Methods", "OPTIONS, GET, POST, PUT, DELETE, UPDATE") c.Writer.Header().Set("Content-Type", "application/json; charset=utf-8") // 设置预验请求有效期为 86400 秒 c.Writer.Header().Set("Access-Control-Max-Age", "86400") if c.Request.Method == "OPTIONS" { c.AbortWithStatus(204) return } c.Next() }
时间: 2024-04-21 19:25:56 浏览: 89
Go语言中的gin框架之GET/POST请求参数接收传值(五)
使用 CSRF token 可以比较安全地传递校验信息。CSRF token 是一种防止跨站请求伪造攻击的技术,其原理是在服务器端生成一个随机字符串(token),并将其放入登录用户的 session 中,然后将该 token 发送给客户端,客户端每次请求时需要将该 token 一并发送给服务器,服务器验证该 token 是否与用户 session 中的一致,从而确定该请求是否有效。这样即使攻击者在客户端伪造请求,由于没有正确的 CSRF token,服务器会拒绝该请求。
阅读全文