Golang Web服务中CORS跨域配置的实现

net/http 默认不处理 CORS 是因设计上只做基础 HTTP 处理，所有 CORS 响应头（如 Access-Control-Allow-Origin）需手动设置或通过中间件（如 github.com/rs/cors）添加，否则浏览器拦截跨域请求。

为什么 net/http 默认不处理 CORS

Go 标准库的 net/http 本身不内置 CORS 中间件，它只做基础 HTTP 处理，所有响应头（包括 Access-Control-Allow-Origin）都得手动设置。如果你没显式写，浏览器就收不到跨域许可，直接拦截请求——这不是 bug，是设计使然。

常见错误现象：Failed to fetch 或控制台报 No 'Access-Control-Allow-Origin' header is present，但后端日志里请求其实已成功执行。

• 不要依赖框架自动加头（比如用 gin 却没注册 Cors() 中间件）
• 预检请求（OPTIONS）必须返回 204 或 200，且不能跳过中间件逻辑
• 如果用了反向代理（如 Nginx），CORS 头可能被覆盖或丢失，优先在 Go 层控制

用 github.com/rs/cors 快速启用（推荐）

这是最稳定、维护活跃的第三方 CORS 库，支持细粒度配置，且对预检请求做了完整处理。它本质是一个 http.Handler 包装器，不影响原有路由逻辑。

安装：

go get github.com/rs/cors

立即学习“go语言免费学习笔记（深入）”；

基本用法示例：

黄城网络办公系统

具有功能全面实用、安全性稳定性高、易操作、管理维护简单的特点，采用独创的智能型技术，web服务器、数据库和应用程序全部自动傻瓜安装配置，用户可在一分钟内自行安装完毕，无需专业人员即可自行维护，B/S结构，适用于Intranet/Internet应用，客户端只需浏览器便可连接办公系统，无论出差旅行，还是居家办公，工作都能得心应手，实现无地域限制的全球办公，具有邮件管理、业务管理、网络硬盘、智能工作流

下载

package main

import (
    "log"
    "net/http"
    "github.com/rs/cors"
)

func main() {
    mux := http.NewServeMux()
    mux.HandleFunc("/api/data", func(w http.ResponseWriter, r *http.Request) {
        w.Header().Set("Content-Type", "application/json")
        w.Write([]byte(`{"ok": true}`))
    })

    // 包装 handler，允许来自 http://localhost:3000 的跨域请求
    handler := cors.New(cors.Options{
        AllowedOrigins: []string{"http://localhost:3000"},
        AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
        AllowedHeaders: []string{"Content-Type", "Authorization"},
        ExposedHeaders: []string{"X-Total-Count"},
        AllowCredentials: true,
    }).Handler(mux)

    log.Fatal(http.ListenAndServe(":8080", handler))
}

• AllowedOrigins 不要设为 * 同时又开启 AllowCredentials: true，这会直接被浏览器拒绝
• ExposedHeaders 是前端 JS 能通过 response.headers.get() 读取的额外头字段，不配就拿不到
• 该库默认响应预检请求（OPTIONS），无需单独注册路由

手写简单 CORS 中间件（适合轻量服务）

如果不想引入依赖，可以自己写一个中间件函数。注意：必须在所有路由前统一应用，且要显式处理 OPTIONS 请求。

关键点在于：预检请求不能落到业务 handler 上，否则可能因缺少 body 解析、JWT 验证等逻辑而失败。

func corsMiddleware(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        w.Header().Set("Access-Control-Allow-Origin", "http://localhost:3000")
        w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
        w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
        w.Header().Set("Access-Control-Allow-Credentials", "true")
        w.Header().Set("Access-Control-Expose-Headers", "X-Total-Count")

        if r.Method == "OPTIONS" {
            w.WriteHeader(http.StatusOK)
            return
        }

        next.ServeHTTP(w, r)
    })
}

// 使用方式：
// http.ListenAndServe(":8080", corsMiddleware(mux))

• 顺序很重要：中间件必须包裹最终 handler，不能反过来
• 手写版不自动合并重复头，多次调用 w.Header().Set() 会覆盖，建议集中设置
• 生产环境若需动态 origin（如多租户），别硬编码字符串，改用白名单 map 或正则匹配

调试 CORS 问题时必看的三个响应头

浏览器是否放行跨域，只认这三个响应头，缺一不可：

• Access-Control-Allow-Origin：必须精确匹配请求头中的 Origin，或为 *（但此时不能带凭证）
• Access-Control-Allow-Credentials：前端设了 credentials: 'include'，后端就必须返回 true，且 Allow-Origin 不能是 *
• Access-Control-Allow-Methods：列出前端实际使用的 HTTP 方法，大小写敏感，多余或遗漏都会导致预检失败

用 curl -I 或浏览器 Network 面板检查响应头，比看 Go 日志更直接。尤其注意预检请求（OPTIONS）的响应头是否完整——很多问题出在这里，而不是主请求。