Тестирование ПО промежуточного слоя CORS с помощью Gin - PullRequest
Новая
       101

Тестирование ПО промежуточного слоя CORS с помощью Gin

1 голос
/ 07 мая 2020

Я пытаюсь написать тест, который проверяет правильность настройки CORS для моего API. API написан на Go и использует GIN. У меня разные настройки CORS в зависимости от группы маршрутизатора. Это выглядит так: 

router := gin.New()
router.Use(gin.Recovery())

domainOneCORS := cors.New(cors.Config{
  AllowOrigins:  []string{"https://domainone.com"},
  AllowMethods:  []string{"GET", "POST", "PUT", "DELETE", "PATCH"},
  AllowHeaders:  []string{"Authorization", "Content-Length", "Content-Type", "Origin"},
  ExposeHeaders: []string{"Content-Length"},
  MaxAge:        12 * time.Hour,
})
domainTwoCORS := cors.New(cors.Config{
  AllowOrigins:  []string{"https://domaintwo.com"},
  AllowMethods:  []string{"GET", "POST", "PUT", "DELETE", "PATCH"},
  AllowHeaders:  []string{"Authorization", "Content-Length", "Content-Type", "Origin"},
  ExposeHeaders: []string{"Content-Length"},
  MaxAge:        12 * time.Hour,
})

domainOneAPI := router.Group("/one")
domainOneAPI.Use(domainOneCORS)
{
  domainOneAPI.GET("", handler.DomainOneHealth)
}

domainTwoAPI := router.Group("/two")
domainTwoAPI.Use(domainTwoCORS)
{
  domainTwoAPI.GET("", handler.DomainTwoHealth)
}

Я пытаюсь найти лучший способ проверить свою конфигурацию. Большинство тестов, которые я нашел, используют обработчик и пропускают часть промежуточного программного обеспечения маршрутизатора. Есть ли смысл тестировать? Даже если я могу имитировать маршрутизатор и ответ, это только подтверждает, что HTTP-клиент может попасть в конечную точку. Отсутствие проверки веб-приложения в другом домене может затронуть API. Я обнаружил эту проблему, которая похожа, но для эха.

1 Ответ

0 голосов
/ 08 мая 2020

Чтобы проверить конфигурацию CORS, вы можете просто создать http.Client и проверить заголовки. Поскольку gin.Engine реализует http.Handler, вы можете использовать httptest.Server и что-то вроде этого: 

func TestCors(t *testing.T) {
    r := // create your GIN router with middleware config here
    origin := // The allowed origin that you want to check

    server := httptest.NewServer(r)
    defer server.Close()

    client := &http.Client{}
    req, _ := http.NewRequest(
        "GET",
        "http://"+server.Listener.Addr().String()+"/api",
        nil,
    )
    req.Header.Add("Origin", origin)

    get, err := client.Do(req)
    if err != nil {
        t.Fatal(err)
    }

    // You should get your origin (or a * depending on your config) if the
    // passed origin is allowed.
    o := get.Header.Get("Access-Control-Allow-Origin")
    if o != origin {
        t.Errorf("Got '%s' ; expecting origin '%s'", o, origin)
    }
}

Сохраняя аналогичную стратегию тестирования в качестве базовой, вы даже можете написать табличный тест для проверки нескольких origin и ожидаемое значение Access-Control-Allow-Origin.

...