Golang跨域请求处理方法详解

哈喽！今天心血来潮给大家带来了《Golang跨域请求处理教程》，想必大家应该对Golang都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习Golang，千万别错过这篇文章~希望能帮助到你！

使用 rs/cors 中间件是解决 Golang 后端跨域问题的推荐方案，通过配置 AllowedOrigins、AllowedMethods 等参数可精准控制 CORS 策略，支持 net/http 和 Gin 框架，能自动处理预检请求且避免手动设置头部的遗漏风险，生产环境应避免通配符并明确指定可信域名，最终实现安全高效的跨域通信。

在使用 Golang 构建后端服务时，尤其是配合前端框架（如 Vue、React）开发时，经常会遇到跨域请求（CORS）问题。浏览器出于安全考虑，会阻止跨域的 AJAX 请求，因此需要在服务端配置 CORS 策略来允许特定或全部来源的请求。

最常见且推荐的做法是使用成熟的第三方中间件 github.com/rs/cors 来处理跨域问题。下面详细介绍如何配置。

使用 rs/cors 中间件配置 CORS

rs/cors 是一个轻量、功能完整的 CORS 中间件，适用于 net/http 和 gorilla/mux、gin 等主流 Go Web 框架。

1. 安装依赖

go get github.com/rs/cors

2. 在 net/http 中使用

如果你使用的是标准库 net/http，可以这样配置：

package main

import (
    "net/http"
    "github.com/rs/cors"
)

func main() {
    mux := http.NewServeMux()
    mux.HandleFunc("/api/hello", func(w http.ResponseWriter, r *http.Request) {
        w.Header().Set("Content-Type", "application/json")
        w.Write([]byte(`{"message": "Hello CORS!"}`))
    })

    // 配置 CORS 中间件
    c := cors.New(cors.Options{
        AllowedOrigins:   []string{"http://localhost:3000", "https://your-frontend.com"}, // 允许的前端域名
        AllowedMethods:   []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
        AllowedHeaders:   []string{"*"}, // 允许所有头部，也可以指定如 "Content-Type", "Authorization"
        ExposedHeaders:   []string{"Content-Length"},
        AllowCredentials: true, // 允许携带凭证（如 cookies）
        MaxAge:           3600, // 预检请求缓存时间（秒）
    })

    // 将 CORS 中间件包装在 handler 外层
    handler := c.Handler(mux)
    http.ListenAndServe(":8080", handler)
}

3. 在 Gin 框架中使用

如果你使用的是 Gin 框架，也可以使用 rs/cors，但更常见的是使用 Gin 自带的 CORS 中间件，或者继续用 rs/cors。

方法一：使用 rs/cors 包装 Gin Engine

package main

import (
    "github.com/gin-gonic/gin"
    "github.com/rs/cors"
    "net/http"
)

func main() {
    r := gin.Default()

    r.GET("/api/hello", func(c *gin.Context) {
        c.JSON(http.StatusOK, gin.H{
            "message": "Hello from Gin with CORS",
        })
    })

    // 使用 rs/cors 包装
    corsMiddleware := cors.New(cors.Options{
        AllowedOrigins: []string{"http://localhost:3000"},
        AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
        AllowedHeaders: []string{"*"},
        AllowCredentials: true,
    })

    handler := corsMiddleware.Handler(r)
    http.ListenAndServe(":8080", handler)
}

方法二：使用 Gin 内置方式（不推荐用于复杂场景）

r.Use(func(c *gin.Context) {
    c.Header("Access-Control-Allow-Origin", "http://localhost:3000")
    c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
    c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization")

    if c.Request.Method == "OPTIONS" {
        c.AbortWithStatus(204)
        return
    }
    c.Next()
})

注意：手动设置 Header 的方式容易遗漏细节（如凭证、预检处理），建议优先使用中间件。

CORS 配置参数说明

常见问题与注意事项

• *Access-Control-Allow-Origin 不能为 `同时携带凭证** 如果前端发送了withCredentials: true，服务端AllowCredentials: true，那么AllowedOrigins必须是具体域名，不能是*`。

• 预检请求（OPTIONS）自动处理
  rs/cors 会自动拦截并响应 OPTIONS 请求，无需手动处理。

• 生产环境避免开放所有来源
  不要使用 AllowedOrigins: []string{"*"}，应明确指定可信的前端域名。

• 路径级别控制（高级）
  rs/cors 支持通过 AllowOriginFunc 实现动态来源判断：

  AllowOriginFunc: func(r *http.Request, origin string) bool {
      return origin == "http://localhost:3000"
  },

基本上就这些。用 rs/cors 是最简单、最安全的方案，几行代码就能解决绝大多数跨域问题。

今天关于《Golang跨域请求处理方法详解》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！