rs/cors项目中CORS预检请求头大小写敏感性问题解析

在rs/cors项目v1.11.0版本发布后，一些开发者发现原本能够通过的CORS测试用例开始出现失败情况。本文将从技术角度深入分析这一变更背后的原因及其影响。

问题现象

在rs/cors v1.11.0版本中，当开发者模拟一个包含Authorization请求头的预检请求时，中间件会拒绝该请求并返回"headers 'Authorization' not allowed"的错误。而在之前的v1.10.1版本中，同样的请求能够被正确处理。

根本原因

这一行为变化源于v1.11.0版本对Fetch标准更严格的遵循。根据最新规范，当浏览器在预检请求中包含Access-Control-Request-Headers头部时，该头部的值应由小写字母组成的逗号分隔令牌构成。

在v1.10.1及更早版本中，rs/cors对请求头名称的大小写处理较为宽松，允许使用Authorization这样的大写形式。而v1.11.0版本开始严格执行规范要求，只接受authorization这样的小写形式。

技术背景

CORS(跨源资源共享)预检请求是浏览器在实际发送可能影响服务器数据的请求前，先发送一个OPTIONS请求来确认服务器是否允许该跨源请求。预检请求中包含三个关键头部：

1. Origin：指示请求来源
2. Access-Control-Request-Method：指示实际请求将使用的方法
3. Access-Control-Request-Headers：指示实际请求将携带的非简单头部

Fetch标准明确规定，Access-Control-Request-Headers中的头部名称必须为小写形式。这一规定主要是为了统一处理，避免因大小写不一致导致的匹配问题。

解决方案

开发者需要确保在模拟或实际发送预检请求时，将Access-Control-Request-Headers中的头部名称全部转换为小写形式。例如：

// 错误写法（大写）
req.Header.Set("Access-Control-Request-Headers", "Authorization")

// 正确写法（小写）
req.Header.Set("Access-Control-Request-Headers", "authorization")

测试建议

在编写CORS相关测试时，建议：

1. 始终使用小写形式的请求头名称
2. 考虑使用专门的断言库而非reflect.DeepEqual进行切片比较
3. 对于Go 1.21+项目，推荐使用标准库中的slices.Equal函数
4. 在测试中同时验证成功和失败场景

版本兼容性考虑

当升级rs/cors到v1.11.0或更高版本时，开发者应当：

1. 检查所有涉及预检请求的代码
2. 确保请求头名称使用小写形式
3. 更新相关测试用例
4. 在文档中注明这一变更

这一变更虽然可能导致部分现有代码需要调整，但从长远来看，遵循标准规范能够带来更好的兼容性和更可预测的行为。

总结

rs/cors v1.11.0对预检请求头名称大小写的严格处理是正确的行为变更，它使中间件更加符合现代Web标准。开发者应当理解这一变更的技术背景，并相应调整自己的代码实现和测试用例。通过遵循规范，可以确保应用在各种浏览器环境中获得一致的CORS行为。