Go Web开发中跨域请求需后端显式配置CORS响应头或使用gorilla/handlers中间件;必须正确处理OPTIONS预检请求,并注意Allow-Origin与Allow-Credentials的兼容性及Vary: Origin头的设置。
在 Go Web 开发中,跨域请求(CORS)不是由前端“发起”的问题,而是后端必须明确响应的 HTTP 安全策略。Go 本身不自动处理 CORS,需手动设置响应头或借助中间件。核心在于:浏览器发出跨域请求时,会先发预检(OPTIONS)请求;服务端必须正确响应预检,并在实际响应中携带合法的 CORS 头。
手动设置 CORS 响应头
最直接的方式是在 HTTP 处理函数中显式写入关键头部字段:
-
Access-Control-Allow-Origin:指定允许访问的源,如
"https://example.com";设为"*"仅适用于无凭证(credentials)的请求 -
Access-Control-Allow-Methods:列出允许的 HTTP 方法,如
"GET, POST, PUT, DELETE" -
Access-Control-Allow-Headers:声明客户端可使用的自定义请求头,如
"Content-Type, Authorization" -
Access-Control-Allow-Credentials:若需携带 Cookie 或认证信息,必须设为
"true",此时Allow-Origin不能为"*" - Access-Control-Expose-Headers(可选):指定哪些响应头可被前端 JavaScript 读取
注意:对非简单请求(如含自定义 header、method 为 PUT/DELETE),浏览器会先发 OPTIONS 预检请求。你的 handler 必须能响应 OPTIONS 请求并返回上述头,否则预检失败,后续请求被拦截。
使用 gorilla/handlers 中间件(推荐)
社区常用 gorilla/handlers 提供开箱即用的 CORS 支持,避免重复写头逻辑:
立即学习“go语言免费学习笔记(深入)”;
- 安装:
go get -u github.com/gorilla/handlers - 基础用法:传入配置映射,例如允许特定源、启用凭证、暴露 header
示例代码片段:
import (
"net/http"
"github.com/gorilla/handlers"
)
func main() {
r := http.NewServeMux()
r.HandleFunc("/api/data", dataHandler)
// 配置 CORS
corsHeaders := handlers.AllowedOrigins([]string{"https://myapp.com"})
corsMethods := handlers.AllowedMethods([]string{"GET", "POST", "PUT", "DELETE", "OPTIONS"})
corsHeadersWithCreds := handlers.AllowCredentials()
corsExposed := handlers.ExposedHeaders([]string{"X-Total-Count"})
log.Fatal(http.ListenAndServe(":8080", handlers.CORS(
corsHeaders,
corsMethods,
corsHeadersWithCreds,
corsExposed,
)(r)))
}
该中间件自动处理 OPTIONS 预检,并将 CORS 头注入所有匹配路由的响应中,清晰且不易遗漏。
自定义中间件实现细粒度控制
当需要按路径、方法或请求特征动态控制 CORS 策略时(如管理后台和公开 API 不同),可手写中间件:
- 检查请求 Origin,白名单校验后动态设置
Access-Control-Allow-Origin - 对 OPTIONS 请求立即返回 200 并写入 CORS 头,不执行后续 handler
- 对带凭证的请求,确保未设置通配符 origin,同时添加
Vary: Origin头以避免缓存歧义
这种写法灵活,适合多租户、灰度发布等场景,但需自行覆盖预检逻辑和错误边界。
常见陷阱与安全提醒
CORS 配置不当可能引入安全风险或功能异常:
- 切勿在生产环境将
Allow-Origin设为"*"同时开启Allow-Credentials: true—— 浏览器会拒绝该组合 - 不要忽略
Vary: Origin头:若根据 Origin 动态返回不同值,缺少此头可能导致 CDN 或代理缓存污染 - 预检请求没有 Cookie 或认证信息,因此中间件中验证 token 或 session 的逻辑不应阻断 OPTIONS 请求
- 前端 fetch 若设
credentials: 'include',后端必须响应Allow-Credentials: true,否则请求失败
安全策略的本质是信任委托,Go 服务只需如实声明“谁可以调我、用什么方式、能看到什么”,浏览器照章执行即可。
