修改跨域配置

2025-11-04 11:52:15 +08:00
parent 0bc22e9d49
commit 0bec4c0129
1 changed files with 16 additions and 14 deletions
--- a/server/middleware/cors/cors.go
+++ b/server/middleware/cors/cors.go
@@ -10,16 +10,15 @@ import (

 func CorsMiddleware(serverConfig *config.ServerConfig) gin.HandlerFunc {
 	return func(c *gin.Context) {
-		// 1. 打印配置的允许源（调试用）
-		fmt.Printf("允许的前端源配置：%v\n", serverConfig.AllowedOrigins)
-
-		// 2. 获取请求的Origin头
+		// 1. 获取请求的Origin头（跨域请求时浏览器会自动带上）
 		origin := c.Request.Header.Get("Origin")
 		fmt.Printf("当前请求源：%s\n", origin) // 调试用

-		// 3. 简化跨域逻辑：如果配置了*，直接允许所有源
+		// 2. 确定允许的Origin（核心修正）
 		allowOrigin := ""
 		hasWildcard := false
+
+		// 检查配置中是否有通配符*
 		for _, allowed := range serverConfig.AllowedOrigins {
 			if allowed == "*" {
 				hasWildcard = true
@@ -28,10 +27,13 @@ func CorsMiddleware(serverConfig *config.ServerConfig) gin.HandlerFunc {
 		}

 		if hasWildcard {
-			// 配置了*，直接设置为*（兼容所有源）
-			allowOrigin = "*"
+			// 若配置了*，且请求有Origin（跨域请求），则动态允许当前Origin
+			// （解决*与credentials冲突的问题）
+			if origin != "" {
+				allowOrigin = origin
+			}
 		} else {
-			// 没有*，精确匹配
+			// 没有*，精确匹配配置的允许源
 			for _, allowed := range serverConfig.AllowedOrigins {
 				if allowed == origin {
 					allowOrigin = origin
@@ -40,22 +42,22 @@ func CorsMiddleware(serverConfig *config.ServerConfig) gin.HandlerFunc {
 			}
 		}

-		// 设置跨域头
+		// 3. 设置跨域响应头（仅当确定了允许的Origin时才设置）
 		if allowOrigin != "" {
 			c.Writer.Header().Set("Access-Control-Allow-Origin", allowOrigin)
 		}
 		// 允许的方法（包含上传需要的POST）
 		c.Writer.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, PATCH")
-		// 允许的头（包含上传可能用到的Content-Type）
+		// 允许的头（包含认证和内容类型）
 		c.Writer.Header().Set("Access-Control-Allow-Headers", "Origin, Content-Type, Accept, Authorization, X-Requested-With, session_id")
-		// 允许携带凭证（如果前端需要）
+		// 允许携带凭证（Cookie等，必须与具体Origin配合）
 		c.Writer.Header().Set("Access-Control-Allow-Credentials", "true")
-		// 预检请求缓存时间（24小时）
+		// 预检请求缓存时间（24小时，减少OPTIONS请求次数）
 		c.Writer.Header().Set("Access-Control-Max-Age", "86400")

 		// 4. 处理OPTIONS预检请求（上传文件前浏览器会先发这个请求）
 		if c.Request.Method == "OPTIONS" {
-			fmt.Println("收到OPTIONS预检请求，返回204") // 调试用
+			fmt.Println("收到OPTIONS预检请求，返回204")
 			c.AbortWithStatus(http.StatusNoContent)
 			return
 		}