CORS是解决浏览器跨域请求的机制,通过配置Access-Control-Allow-Origin等响应头允许指定源访问资源;在Golang中可通过手动设置响应头、编写中间件或使用gorilla/handlers.CORS库实现,推荐中大型项目使用中间件或第三方库统一管理以支持预检请求和凭据传递。
在使用 Golang 构建后端服务时,前端通过浏览器发起请求经常会遇到跨域问题。这是由于浏览器的同源策略限制,不允许从一个源加载的网页向另一个不同源的服务器发起请求。为了解决这个问题,需要在 Go 服务中正确配置 CORS(跨源资源共享)策略。
什么是 CORS
CORS 是一种基于 HTTP 头部的机制,允许服务器声明哪些源可以访问其资源。当浏览器检测到跨域请求时,会先发送一个预检请求(OPTIONS 方法),确认服务器是否接受该请求。服务器需返回正确的响应头来授权访问。
手动设置 CORS 响应头
最直接的方式是在处理函数中添加必要的响应头:
-
Access-Control-Allow-Origin:指定允许访问的源,例如
*或具体域名如https://example.com - Access-Control-Allow-Methods:允许的 HTTP 方法,如 GET、POST、PUT、DELETE 等
- Access-Control-Allow-Headers:允许携带的请求头字段,如 Content-Type、Authorization
- Access-Control-Allow-Credentials:是否允许携带凭据(如 Cookie),若设置为 true,Access-Control-Allow-Origin 不能为 *
示例代码:
立即学习“go语言免费学习笔记(深入)”;
func handler(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Access-Control-Allow-Origin", "https://example.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
// 正常处理逻辑
w.Write([]byte("Hello World"))
}
使用中间件统一处理 CORS
如果多个路由都需要支持跨域,推荐封装成中间件,避免重复代码:
func corsMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Access-Control-Allow-Origin", "https://example.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
next.ServeHTTP(w, r)
})
}
// 使用方式
http.Handle("/api/", corsMiddleware(http.StripPrefix("/api", apiRouter)))
使用第三方库简化配置
Gorilla 的 handlers.CORS 是一个常用的解决方案,功能完整且易于配置:
安装:
go get github.com/gorilla/handlers
使用示例:
import "github.com/gorilla/handlers"
func main() {
mux := http.NewServeMux()
mux.HandleFunc("/data", yourHandler)
corsHandler := handlers.CORS(
handlers.AllowedOrigins([]string{"https://example.com"}),
handlers.AllowedMethods([]string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}),
handlers.AllowedHeaders([]string{"Content-Type", "Authorization"}),
handlers.AllowCredentials(),
)
log.Fatal(http.ListenAndServe(":8080", corsHandler(mux)))
}
这个库支持细粒度控制,比如只对某些路径启用 CORS,或动态判断 origin 是否合法。
基本上就这些。根据项目规模选择合适的方式:小项目可手动加头,中大型应用建议用中间件或成熟库统一管理。关键是理解 OPTIONS 预检和响应头的作用,避免因配置不当导致请求被拦截。
