Go中处理CORS需正确设置响应头,可手动配置或使用rs/cors库;关键头包括Allow-Origin、Allow-Methods、Allow-Headers等,注意凭证模式下Origin不可为*,推荐生产环境用rs/cors并结合白名单。
在 Go 语言中处理跨域请求(CORS),核心是正确设置 HTTP 响应头,让浏览器允许前端 JavaScript 发起的跨域请求。Go 标准库本身不内置 CORS 中间件,但通过手动设置响应头或使用成熟第三方库(如 rs/cors),可以简洁、安全地实现符合 W3C 规范的访问控制策略。
手动添加 CORS 响应头(适合简单场景)
适用于开发调试或规则固定的轻量服务。关键响应头包括:
-
Access-Control-Allow-Origin:指定允许访问的源(如
"https://example.com"),或用"*"允许任意源(注意:若需携带凭证则不能为*) -
Access-Control-Allow-Methods:列出允许的 HTTP 方法,如
"GET, POST, PUT, DELETE, OPTIONS" -
Access-Control-Allow-Headers:声明客户端可发送的自定义请求头,如
"Content-Type, Authorization, X-Requested-With" -
Access-Control-Allow-Credentials:设为
"true"表示允许携带 Cookie 或认证信息(此时Allow-Origin必须为具体域名,不可为*) - Access-Control-Expose-Headers(可选):指定哪些响应头可被前端 JS 读取
示例代码:
func corsMiddleware(next http.Handler) http.Handler {return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Access-Control-Allow-Origin", "https://myapp.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
w.Header().Set("Access-Control-Allow-Credentials", "true")
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
next.ServeHTTP(w, r)
})
}
使用 rs/cors 库(推荐用于生产环境)
github.com/rs/cors 是最广泛采用的 Go CORS 中间件,功能完整、配置灵活、兼容 net/http 和各类框架(如 Gin、Echo)。
立即学习“go语言免费学习笔记(深入)”;
- 安装:
go get github.com/rs/cors - 基础用法(标准 net/http):
corsHandler := cors.New(cors.Options{
AllowedOrigins: []string{"https://myapp.com", "http://localhost:3000"},
AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
AllowedHeaders: []string{"Content-Type", "Authorization"},
AllowCredentials: true,
ExposedHeaders: []string{"X-Total-Count"},
}).Handler(handler)
http.ListenAndServe(":8080", corsHandler)
- 支持动态 origin 校验(通过函数回调)、预检缓存(
MaxAge)、调试日志等高级能力
与 Gin 框架集成 CORS
Gin 用户可直接使用 gin-contrib/cors(基于 rs/cors 封装):
r := gin.Default()
r.Use(cors.New(cors.Config{
AllowOrigins: []string{"https://myapp.com"},
AllowMethods: []string{"GET", "POST", "PUT", "DELETE"},
AllowHeaders: []string{"Content-Type", "Authorization"},
AllowCredentials: true,
}))
注意:Gin 默认会自动处理 OPTIONS 预检请求,无需额外注册路由。
常见陷阱与注意事项
-
Origin 为空或不匹配时不要返回通配符 *:应校验请求头
Origin,仅对白名单中的源返回对应值,避免绕过安全限制 - OPTIONS 请求必须返回 200 或 204:不能返回 404 或重定向,否则浏览器会中断后续真实请求
-
凭证模式下禁止使用 *:若设置了
Access-Control-Allow-Credentials: true,则Allow-Origin必须是明确域名,不能是* - 确保中间件顺序正确:CORS 中间件需在路由匹配之后、业务处理器之前执行(尤其在 Gin/Echo 中)
不复杂但容易忽略细节,建议优先使用 rs/cors 并结合白名单机制,兼顾安全性与兼容性。
