当前端页面(如 http://localhost:9009)通过 ajax 向不同端口的 go 后端(如 http://localhost:9090)发起请求时,因端口不同触发浏览器同源策略限制,需在 go 服务端显式添加 `access-control-allow-origin` 等 cors 头才能成功通信。
该错误本质是浏览器的同源策略(Same-Origin Policy)强制拦截了跨源请求。虽然 localhost:9009 和 localhost:9090 域名相同,但端口(9009 ≠ 9090)不同,即构成不同源(scheme + host + port 三者必须完全一致)。此时,浏览器在发送实际请求(如 POST)前会先发一个预检请求(OPTIONS),并要求目标服务器响应中包含合法的 CORS 头,否则拒绝后续请求。
要解决此问题,需在你的 Go HTTP 服务端中间件或处理函数中添加标准 CORS 响应头。以下是一个简洁、安全、生产可用的实现示例(使用标准 net/http,无需额外依赖):
func corsMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
// 允许指定源(开发阶段可设为 "*",但注意:若需携带 credentials,则不能为 "*")
w.Header().Set("Access-Control-Allow-Origin", "http://localhost:9009")
// 允许的请求方法
w.Header().Set("Access-Control-Allow-Methods", "POST, GET, OPTIONS, PUT, DELETE")
// 允许的请求头
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With")
// 允许客户端携带 cookie(如需登录态)
w.Header().Set("Access-Control-Allow-Credentials", "true")
// 指定预检请求缓存时间(秒)
w.Header().Set("Access-Control-Max-Age", "86400")
// 处理预检请求(OPTIONS)
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
next.ServeHTTP(w, r)
})
}
// 使用示例
func main() {
http.Handle("/receive", corsMiddleware(http.HandlerFunc(receiveHandler)))
log.Println("Server starting on :9090")
log.Fatal(http.ListenAndServe(":9090", nil))
}⚠️ 注意事项:
- 开发环境可临时设 "Access-Control-Allow-Origin": "*" 快速验证,但上线前务必替换为明确的可信源(如 "http://yourdomain.com"),尤其当启用 Access-Control-Allow-Credentials: true 时,* 将被浏览器拒绝;
- 若前端 Dropzone 配置了 withCredentials: true(用于传递 Cookie 或认证头),后端必须同时设置 Allow-Credentials: true 且 Allow-Origin 不能为通配符;
- Nginx 反向代理层不能替代后端 CORS 配置——CORS 是由最终响应的服务器(即你的 Go 服务)决定的,Nginx 仅作转发,不生成 CORS 头(除非你显式在 Nginx 配置中添加 add_header,但推荐统一由应用层控制更可靠);
- 确保 receiveHandler 中的业务逻辑不覆盖或清空上述已设置的 Header。
✅ 总结:该问题与前端代码或 Nginx 配置无关,根源在于 Go 服务未声明跨域许可。只需在 HTTP 处理链中注入 CORS 中间件,正确设置响应头并妥善处理 OPTIONS 预检,即可彻底解决 No 'Access-Control-Allow-Origin' header is present 错误。
