Go中实现CORS需正确设置响应头:Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers;预检请求须响应OPTIONS并设Access-Control-Max-Age;带凭证时Origin不能为*且需设Access-Control-Allow-Credentials:true;推荐封装为中间件统一处理。
在 Go 中实现跨域请求(CORS),核心是通过 HTTP 响应头(Header)正确设置允许来源、方法、头部等字段。标准做法不是“手动拼 Header 字符串”,而是遵循 CORS 规范,有选择地设置关键字段,避免遗漏或冲突。
基础 CORS Header 设置
最简但有效的跨域响应需包含以下三个 Header:
-
Access-Control-Allow-Origin:指定允许访问的源,如
"https://example.com";设为"*"表示允许任意源(但注意:带凭证时不可用"*") -
Access-Control-Allow-Methods:列出允许的 HTTP 方法,如
"GET, POST, PUT, DELETE, OPTIONS" -
Access-Control-Allow-Headers:声明客户端可携带的自定义请求头,如
"Content-Type, Authorization, X-Requested-With"
处理预检请求(OPTIONS)
浏览器对非简单请求(如含自定义 Header 或非 GET/POST 方法)会先发一个 OPTIONS 预检请求。服务端必须响应它,且不能跳过业务逻辑中间件:
- 单独匹配
OPTIONS请求路径(如r.OPTIONS("/api/*", handler)) - 响应中至少返回上述三项 Header,并加
Access-Control-Max-Age(缓存预检结果,单位秒) - 响应体可为空,状态码用
204 No Content或200 OK
支持凭证(Cookie / Authorization)
若前端请求设置了 credentials: 'include',后端需额外满足:
立即学习“go语言免费学习笔记(深入)”;
-
Access-Control-Allow-Origin 不能为
"*",必须明确写出协议+域名(如"https://myapp.com") - 添加 Access-Control-Allow-Credentials: "true"
- 确保
Access-Control-Allow-Headers包含"Authorization"(如需鉴权)
推荐实践:封装中间件
避免每个 Handler 重复写 Header,建议封装成 Gin / Echo / net/http 中间件。例如 Gin 中:
(以 Gin 为例)func CORSMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
origin := c.Request.Header.Get("Origin")
if origin != "" {
c.Header("Access-Control-Allow-Origin", origin)
c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With")
c.Header("Access-Control-Allow-Credentials", "true")
c.Header("Access-Control-Expose-Headers", "Content-Length, X-Total-Count")
}
if c.Request.Method == "OPTIONS" {
c.AbortWithStatus(204)
return
}
c.Next()
}
}
然后全局注册:r.Use(CORSMiddleware())
基本上就这些。关键是按需设置、区分简单请求与预检、谨慎对待 credentials 场景——不复杂但容易忽略细节。
