使用 rs/cors 中间件是解决 golang 后端跨域问题的推荐方案,通过配置 allowedorigins、allowedmethods 等参数可精准控制 cors 策略,支持 net/http 和 gin 框架,能自动处理预检请求且避免手动设置头部的遗漏风险,生产环境应避免通配符并明确指定可信域名,最终实现安全高效的跨域通信。
在使用 Golang 构建后端服务时,尤其是配合前端框架(如 Vue、React)开发时,经常会遇到跨域请求(CORS)问题。浏览器出于安全考虑,会阻止跨域的 AJAX 请求,因此需要在服务端配置 CORS 策略来允许特定或全部来源的请求。
最常见且推荐的做法是使用成熟的第三方中间件
github.com/rs/cors来处理跨域问题。下面详细介绍如何配置。
使用 rs/cors
中间件配置 CORS
rs/cors是一个轻量、功能完整的 CORS 中间件,适用于
net/http和
gorilla/mux、
gin等主流 Go Web 框架。
立即学习“go语言免费学习笔记(深入)”;
1. 安装依赖
go get github.com/rs/cors
2. 在 net/http
中使用
如果你使用的是标准库
net/http,可以这样配置:
package main
import (
"net/http"
"github.com/rs/cors"
)
func main() {
mux := http.NewServeMux()
mux.HandleFunc("/api/hello", func(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Content-Type", "application/json")
w.Write([]byte(`{"message": "Hello CORS!"}`))
})
// 配置 CORS 中间件
c := cors.New(cors.Options{
AllowedOrigins: []string{"http://localhost:3000", "https://your-frontend.com"}, // 允许的前端域名
AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
AllowedHeaders: []string{"*"}, // 允许所有头部,也可以指定如 "Content-Type", "Authorization"
ExposedHeaders: []string{"Content-Length"},
AllowCredentials: true, // 允许携带凭证(如 cookies)
MaxAge: 3600, // 预检请求缓存时间(秒)
})
// 将 CORS 中间件包装在 handler 外层
handler := c.Handler(mux)
http.ListenAndServe(":8080", handler)
}3. 在 Gin 框架中使用
如果你使用的是 Gin 框架,也可以使用
rs/cors,但更常见的是使用 Gin 自带的 CORS 中间件,或者继续用
rs/cors。
方法一:使用 rs/cors
包装 Gin Engine
package main
import (
"github.com/gin-gonic/gin"
"github.com/rs/cors"
"net/http"
)
func main() {
r := gin.Default()
r.GET("/api/hello", func(c *gin.Context) {
c.JSON(http.StatusOK, gin.H{
"message": "Hello from Gin with CORS",
})
})
// 使用 rs/cors 包装
corsMiddleware := cors.New(cors.Options{
AllowedOrigins: []string{"http://localhost:3000"},
AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
AllowedHeaders: []string{"*"},
AllowCredentials: true,
})
handler := corsMiddleware.Handler(r)
http.ListenAndServe(":8080", handler)
}方法二:使用 Gin 内置方式(不推荐用于复杂场景)
r.Use(func(c *gin.Context) {
c.Header("Access-Control-Allow-Origin", "http://localhost:3000")
c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization")
if c.Request.Method == "OPTIONS" {
c.AbortWithStatus(204)
return
}
c.Next()
})注意:手动设置 Header 的方式容易遗漏细节(如凭证、预检处理),建议优先使用中间件。
CORS 配置参数说明
| 参数 | 说明 |
|---|---|
| @@######@@ | 允许访问的前端域名列表,生产环境避免使用 @@######@@ |
| @@######@@ | 允许的 HTTP 方法 |
| @@######@@ | 允许的请求头,设为 @@######@@ 表示允许所有 |
| @@######@@ | 是否允许携带 Cookie 或认证信息,设为 @@######@@ 时 @@######@@ 不能为 @@######@@ |
| @@######@@ | 客户端可读取的响应头 |
| @@######@@ | 预检请求(OPTIONS)的缓存时间,减少重复请求 |
常见问题与注意事项
*
AllowedOrigins
不能为 `*
withCredentials: trueAllowedMethods
AllowCredentials: trueAllowedHeaders
AllowedOrigins[]string{"*"}*`。预检请求(OPTIONS)自动处理
AllowCredentials
会自动拦截并响应 OPTIONS 请求,无需手动处理。生产环境避免开放所有来源
不要使用true
,应明确指定可信的前端域名。-
路径级别控制(高级)
AllowedOrigins
支持通过*
实现动态来源判断:ExposedHeaders
基本上就这些。用
MaxAge是最简单、最安全的方案,几行代码就能解决绝大多数跨域问题。
Access-Control-Allow-Origin
同时携带凭证** 如果前端发送了
,服务端
,那么
必须是具体域名,不能是
rs/cors
AllowedOrigins: []string{"*"}rs/cors
AllowOriginFunc
AllowOriginFunc: func(r *http.Request, origin string) bool {
return origin == "http://localhost:3000"
},rs/cors
