Go Web开发中跨域请求需后端显式配置CORS响应头或使用gorilla/handlers中间件;必须正确处理OPTIONS预检请求,并注意Allow-Origin与Allow-Credentials的兼容性及Vary: Origin头的设置。
在 Go Web 开发中,跨域请求(CORS)不是由前端“发起”的问题,而是后端必须明确响应的 HTTP 安全策略。Go 本身不自动处理 CORS,需手动设置响应头或借助中间件。核心在于:浏览器发出跨域请求时,会先发预检(OPTIONS)请求;服务端必须正确响应预检,并在实际响应中携带合法的 CORS 头。
最直接的方式是在 HTTP 处理函数中显式写入关键头部字段:
"https://example.com";设为 "*" 仅适用于无凭证(credentials)的请求"GET, POST, PUT, DELETE"
"Content-Type, Authorization"
"true",此时 Allow-Origin 不能为 "*"
注意:对非简单请求(如含自定义 header、method 为 PUT/DELETE),浏览器会先发 OPTIONS 预检请求。你的 handler 必须能响应 OPTIONS 请求并返回上述头,否则预检失败,后续请求被拦截。
社区常用 gorilla/handlers 提供开箱即用的 CORS 支持,避免重复写头逻辑:
go get -u github.com/gorilla/handlers
示例代码片段:
import (
"net/http"
"github.com/gorilla/handlers"
)
func main() {
r := http.NewServeMux()
r.HandleFunc("/api/data", dataHandler)
// 配置 CORS
corsHeaders := handlers.AllowedOrigins([]string{"https://myapp.com"})
corsMethods := handlers.AllowedMethods([]string{"GET", "POST", "PUT", "DELETE", "OPTIONS"})
corsHeadersWithCreds := handlers.AllowCredentials()
corsExposed := handlers.ExposedHeaders([]string{"X-Total-Count"})
log.Fatal(http.ListenAndServe(":8080", handlers.CORS(
corsHeaders,
corsMethods,
corsHeadersWithCreds,
corsExposed,
)(r)))
}
该中间件自动处理 OPTIONS 预检,并将 C
ORS 头注入所有匹配路由的响应中,清晰且不易遗漏。
当需要按路径、方法或请求特征动态控制 CORS 策略时(如管理后台和公开 API 不同),可手写中间件:
Access-Control-Allow-Origin
Vary: Origin 头以避免缓存歧义这种写法灵活,适合多租户、灰度发布等场景,但需自行覆盖预检逻辑和错误边界。
CORS 配置不当可能引入安全风险或功能异常:
Allow-Origin 设为 "*" 同时开启 Allow-Credentials: true —— 浏览器会拒绝该组合Vary: Origin 头:若根据 Origin 动态返回不同值,缺少此头可能导致 CDN 或代理缓存污染credentials: 'include',后端必须响应 Allow-Credentials: true,否则请求失败安全策略的本质是信任委托,Go 服务只需如实声明“谁可以调我、用什么方式、能看到什么”,浏览器照章执行即可。