go语言处理CORS需正确设置响应头并处理OPTIONS预检请求,关键Header包括access-Control-Allow-Origin、Methods、Headers等,推荐用中间件统一管理,生产环境须校验Origin白名单且避免通配符与credentials冲突。
Go语言处理跨域(CORS)jsON请求,核心是正确设置响应头,并在必要时处理预检(OPTIONS)请求。不需要第三方库也能轻松实现,关键在于理解浏览器的CORS机制和Gin/http标准库中的控制点。
理解CORS关键Header
浏览器发起跨域请求时,服务端必须返回特定响应头,否则前端会被拦截。最常用且必需的有:
- Access-Control-Allow-Origin:指定允许访问的源,如
"https://example.com"或通配符"*"(注意:"*"不能与凭证(credentials)共存) - Access-Control-Allow-Methods:声明允许的HTTP方法,如
"GET, POST, PUT, delete, OPTIONS" - Access-Control-Allow-Headers:列出允许客户端携带的自定义请求头,如
"Content-Type, Authorization, X-Requested-With" - Access-Control-Expose-Headers(可选):声明哪些响应头可被前端JS读取(默认只暴露简单响应头)
- Access-Control-Allow-Credentials(可选):设为
"true"时,前端需配置credentials: 'include',此时Allow-Origin不能为"*"
手动设置Header(标准net/http)
适用于轻量服务或学习原理。在处理函数中直接写入Header即可:
func jsonHandler(w http.ResponseWriter, r *http.Request) { // 设置CORS头 w.Header().Set("Access-Control-Allow-Origin", "https://myapp.com") w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS") w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization") w.Header().Set("Access-Control-Allow-Credentials", "true") // 处理预检请求 if r.Method == "OPTIONS" { w.WriteHeader(http.StatusOK) return } // 正常JSON响应 w.Header().Set("Content-Type", "application/json") json.NewEncoder(w).Encode(map[string]string{"message": "success"}) }使用中间件统一处理(推荐)
避免每个handler重复写Header,封装成中间件更清晰、易维护。以 Gin 框架为例:
立即学习“go语言免费学习笔记(深入)”;
func CORSMiddleware() gin.HandlerFunc { return func(c *gin.Context) { origin := c.Request.Header.Get("Origin") if origin != "" { c.Header("Access-Control-Allow-Origin", origin) c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, PATCH, DELETE, OPTIONS") c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With") c.Header("Access-Control-Allow-Credentials", "true") c.Header("Access-Control-Expose-Headers", "Content-Length, X-Total-Count") } if c.Request.Method == "OPTIONS" { c.AbortWithStatus(http.StatusOK) return } c.Next() } } // 使用方式 r := gin.Default() r.Use(CORSMiddleware()) r.POST("/api/data", handleJSON)注意:Gin 默认不自动处理 OPTIONS 请求,所以中间件里要显式拦截并返回 200;若用 net/http,需注册 http.HandleFunc("OPTIONS", ...) 或复用同一 handler 判断 method。
生产环境注意事项
实际部署时别忽略这些细节:
- 不要对所有来源都用
"*",尤其涉及登录态或敏感操作时,应校验 Origin 白名单 - 如果前端带 cookie 或 Token(
credentials: 'include'),后端必须设Allow-Credentials: true且Allow-Origin为具体域名 - 某些反向代理(如 nginx)可能覆盖响应头,确保它未清除或重写 CORS 相关 Header
- 开发阶段可用
localhost:3000等地址测试,但线上务必用真实域名做 Origin 校验
基本上就这些。CORS本身不复杂,但容易因一个Header漏设或值冲突导致前端静默失败。建议先用 curl 模拟 OPTIONS 请求验证响应头,再联调前端,效率更高。