如何使用Golang处理跨域JSON请求_使用Header和中间件实现CORS-Golang-PHP中文网

如何使用Golang处理跨域JSON请求_使用Header和中间件实现CORS

P粉602998670

发布： 2025-12-09 09:43:55

原创

827人浏览过

Go语言处理CORS需正确设置响应头并处理OPTIONS预检请求，关键Header包括Access-Control-Allow-Origin、Methods、Headers等，推荐用中间件统一管理，生产环境须校验Origin白名单且避免通配符与credentials冲突。

如何使用golang处理跨域json请求_使用header和中间件实现cors

Go语言处理跨域（CORS）JSON请求，核心是正确设置响应头，并在必要时处理预检（OPTIONS）请求。不需要第三方库也能轻松实现，关键在于理解浏览器的CORS机制和Gin/HTTP标准库中的控制点。

理解CORS关键Header

浏览器发起跨域请求时，服务端必须返回特定响应头，否则前端会被拦截。最常用且必需的有：

Access-Control-Allow-Origin：指定允许访问的源，如 "https://example.com" 或通配符 "*"（注意："*" 不能与凭证（credentials）共存）
Access-Control-Allow-Methods：声明允许的HTTP方法，如 "GET, POST, PUT, DELETE, OPTIONS"
Access-Control-Allow-Headers：列出允许客户端携带的自定义请求头，如 "Content-Type, Authorization, X-Requested-With"
Access-Control-Expose-Headers（可选）：声明哪些响应头可被前端JS读取（默认只暴露简单响应头）
Access-Control-Allow-Credentials（可选）：设为 "true" 时，前端需配置 credentials: 'include'，此时 Allow-Origin 不能为 "*"

手动设置Header（标准net/http）

适用于轻量服务或学习原理。在处理函数中直接写入Header即可：

func jsonHandler(w http.ResponseWriter, r *http.Request) {
    // 设置CORS头
    w.Header().Set("Access-Control-Allow-Origin", "https://myapp.com")
    w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
    w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
    w.Header().Set("Access-Control-Allow-Credentials", "true")

    // 处理预检请求
    if r.Method == "OPTIONS" {
        w.WriteHeader(http.StatusOK)
        return
    }

    // 正常JSON响应
    w.Header().Set("Content-Type", "application/json")
    json.NewEncoder(w).Encode(map[string]string{"message": "success"})
}

登录后复制

使用中间件统一处理（推荐）

避免每个handler重复写Header，封装成中间件更清晰、易维护。以 Gin 框架为例：

立即学习“go语言免费学习笔记（深入）”；

ImgGood

免费在线AI照片编辑器

查看详情

func CORSMiddleware() gin.HandlerFunc {
    return func(c *gin.Context) {
        origin := c.Request.Header.Get("Origin")
        if origin != "" {
            c.Header("Access-Control-Allow-Origin", origin)
            c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, PATCH, DELETE, OPTIONS")
            c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With")
            c.Header("Access-Control-Allow-Credentials", "true")
            c.Header("Access-Control-Expose-Headers", "Content-Length, X-Total-Count")
        }

        if c.Request.Method == "OPTIONS" {
            c.AbortWithStatus(http.StatusOK)
            return
        }

        c.Next()
    }
}

// 使用方式
r := gin.Default()
r.Use(CORSMiddleware())
r.POST("/api/data", handleJSON)

登录后复制

注意：Gin 默认不自动处理 OPTIONS 请求，所以中间件里要显式拦截并返回 200；若用 net/http，需注册 http.HandleFunc("OPTIONS", ...) 或复用同一 handler 判断 method。

生产环境注意事项

实际部署时别忽略这些细节：

不要对所有来源都用 "*"，尤其涉及登录态或敏感操作时，应校验 Origin 白名单
如果前端带 cookie 或 token（credentials: 'include'），后端必须设 Allow-Credentials: true 且 Allow-Origin 为具体域名
某些反向代理（如 Nginx）可能覆盖响应头，确保它未清除或重写 CORS 相关 Header
开发阶段可用 localhost:3000 等地址测试，但线上务必用真实域名做 Origin 校验