答案是使用CORS配置解决Golang Web服务跨域问题。通过手动设置响应头或中间件统一添加Access-Control-Allow-Origin等字段,支持浏览器跨域请求,推荐使用中间件或gorilla/handlers库实现细粒度控制,并正确处理OPTIONS预检请求以确保复杂请求顺利执行。
在使用 Golang 构建 Web 服务时,前端请求经常会遇到跨域问题。浏览器出于安全考虑实施同源策略,限制了不同源之间的资源请求。要解决这个问题,需要在后端正确配置 CORS(跨域资源共享)。Golang 可以通过手动设置响应头或使用中间件来实现灵活的 CORS 控制。
什么是 CORS
CORS(Cross-Origin Resource Sharing)是一种浏览器机制,允许网页向不同域名、协议或端口的服务器发起 HTTP 请求。服务端需在响应头中添加特定字段,如 Access-Control-Allow-Origin,告知浏览器该请求是否被允许。
手动设置 CORS 响应头
最直接的方式是在每个处理函数中手动添加 CORS 头信息:
func handler(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Access-Control-Allow-Origin", "*")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
// 正常处理逻辑
fmt.Fprintf(w, "Hello CORS")
}
这种方式适合简单项目,但重复代码多,维护成本高。
立即学习“go语言免费学习笔记(深入)”;
使用中间件统一处理 CORS
更推荐的做法是编写一个通用的 CORS 中间件,在路由前统一处理跨域请求:
func corsMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Access-Control-Allow-Origin", "https://yourfrontend.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
next.ServeHTTP(w, r)
})
}
// 使用方式
http.Handle("/api/", corsMiddleware(http.StripPrefix("/api", apiMux)))
中间件方式便于集中管理,也支持对不同路由做差异化配置。例如可针对 API 路由启用 CORS,静态资源则不启用。
使用第三方库:gorilla/handlers
如果不想自己实现,可以使用成熟的第三方包 gorilla/handlers 快速启用 CORS:
import "github.com/gorilla/handlers"
// 允许所有来源
http.ListenAndServe(":8080", handlers.CORS(
handlers.AllowedOrigins([]string{"*"}),
handlers.AllowedMethods([]string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}),
handlers.AllowedHeaders([]string{"X-Requested-With", "Content-Type", "Authorization"}),
)(router))
支持细粒度控制,比如只允许特定域名访问,或携带 Cookie 的请求(需设置 AllowedCredentials)。
处理预检请求(Preflight)
对于复杂请求(如带自定义头或认证信息),浏览器会先发送 OPTIONS 请求进行预检。服务端必须正确响应这些请求,否则实际请求不会发出。
关键点:
- 对 OPTIONS 方法返回 200 状态码
- 设置允许的方法和头部
- 可选设置 Access-Control-Max-Age 缓存预检结果
基本上就这些。无论是手动设置还是使用中间件,核心是理解浏览器如何执行 CORS 检查,并确保服务端返回正确的响应头。合理配置后,前后端分离项目就能顺畅通信了。
