答案是通过设置CORS响应头或使用中间件处理跨域请求。Golang中可通过手动编写中间件或使用rs/cors库配置Access-Control-Allow-Origin、Methods、Headers等头部,正确响应预检请求,实现安全的跨域资源共享,生产环境应避免通配符并谨慎启用凭据支持。
在Golang中处理跨域请求(CORS)的核心是正确设置HTTP响应头,让浏览器允许前端应用访问后端接口。跨域问题通常出现在前端页面与API服务不在同一域名、端口或协议时。下面介绍几种常见且实用的处理方式。
理解CORS基础
CORS(Cross-Origin Resource Sharing)依赖HTTP头部字段来控制权限。关键的响应头包括:
- Access-Control-Allow-Origin:指定哪些源可以访问资源,例如 http://localhost:3000 或使用 * 允许所有
- Access-Control-Allow-Methods:允许的HTTP方法,如 GET、POST、PUT 等
- Access-Control-Allow-Headers:允许携带的请求头字段,如 Content-Type、Authorization
- Access-Control-Allow-Credentials:是否允许携带凭据(如Cookie)
对于带有认证信息或自定义头的请求,浏览器会先发送一个 OPTIONS 预检请求,服务器必须正确响应才能继续。
手动设置CORS中间件
可以在Golang的HTTP处理器中编写一个中间件函数来统一添加CORS头:
立即学习“go语言免费学习笔记(深入)”;
func corsMiddleware(next http.Handler) http.Handler {return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Access-Control-Allow-Origin", "http://localhost:3000")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
w.Header().Set("Access-Control-Allow-Credentials", "true")
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
next.ServeHTTP(w, r)
})
}
使用方式:
http.Handle("/api/", corsMiddleware(http.HandlerFunc(yourHandler)))
这种方式灵活可控,适合需要精细配置的场景。
使用第三方库:github.com/rs/cors
更推荐使用成熟的库简化操作。例如 rs/cors 提供了简洁的配置选项:
import "github.com/rs/cors"c := cors.New(cors.Options{
AllowedOrigins: []string{"http://localhost:3000"},
AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
AllowedHeaders: []string{"Content-Type", "Authorization"},
AllowCredentials: true,
})
handler := c.Handler(yourMux)
http.ListenAndServe(":8080", handler)
该库自动处理预检请求,并支持通配符、正则匹配源等高级功能,减少出错可能。
注意事项
设置CORS时注意以下几点:
- 生产环境避免使用 * 作为 Access-Control-Allow-Origin,尤其当设置了 AllowCredentials: true 时,这会导致安全策略拒绝
- 如果前端发送了带 Cookie 或 Authorization 头的请求,必须开启 AllowCredentials,同时 Origin 不能为通配符
- 确保预检请求(OPTIONS)被正确拦截并返回200状态码,不进入后续业务逻辑
- 静态资源服务同样可能涉及跨域,需一并处理
基本上就这些。通过中间件或专用库,Golang可以轻松支持跨域请求,关键是理解浏览器的CORS机制并正确设置响应头。
