Golang处理跨域请求的技巧

在Golang实战开发的过程中，我们经常会遇到一些这样那样的问题，然后要卡好半天，等问题解决了才发现原来一些细节知识点还是没有掌握好。今天golang学习网就整理分享《Golang跨域请求处理方法》，聊聊，希望可以帮助到正在努力赚钱的你。

手动写 Header 易出错主因是未处理 OPTIONS 预检请求，导致 CORS 头缺失或冲突；需显式响应 204，严格匹配 Origin 与 Credentials，动态校验用 rs/cors 更稳妥。

为什么手动写 Header 容易出错

很多人第一反应是直接在 handler 里 w.Header().Set()，但实际跑起来常遇到：前端报错“CORS header ‘Access-Control-Allow-Origin’ missing”，或者带 cookie 的请求被静默拦截。根本原因是没处理 OPTIONS 预检——浏览器对非简单请求（比如含 Authorization 头或 PUT 方法）会先发一次 OPTIONS 请求，而你的 handler 如果没匹配到、没返回头、甚至没提前 return，整个链路就断了。

• 必须显式响应 OPTIONS 请求，状态码建议用 204 No Content（比 200 OK 更规范）
• Access-Control-Allow-Origin 设为 "*" 时，Access-Control-Allow-Credentials 不能设为 "true"，否则浏览器直接拒绝
• 如果前端用了 credentials: 'include'，Origin 就不能是通配符，得写死成 "https://myapp.com" 或用函数动态判断
• 漏掉 Access-Control-Allow-Headers 中的某个字段（比如 X-Request-ID），预检就会失败

gorilla/handlers 和 rs/cors 该怎么选

两个库都成熟，但定位不同：gorilla/handlers 更轻量、API 直观，适合中小型项目快速上线；rs/cors 功能更全（支持 AllowOriginFunc、MaxAge、Debug 模式），且和 Gin/Echo 等框架兼容性更好，生产环境更稳妥。

• 用 gorilla/handlers：适合只配固定域名、方法、头字段的场景，代码干净，调试日志少
• 用 rs/cors：需要白名单动态校验（比如从数据库查允许的 origin）、要开 Debug: true 查预检失败原因、或想统一控制 MaxAge 缓存时间时，它更合适
• 两者都不支持“部分路由开启 CORS”，必须包装整个 mux/router；如需细粒度控制（比如 /api/public 放开、/api/admin 严格限制），得自己写中间件或用框架原生能力（如 Gin 的 gin.HandlerFunc）

rs/cors 的几个关键配置项怎么填

rs/cors 看似简单，但几个字段组合容易踩坑。比如 AllowedOrigins 写 []string{"*"} 是合法的，但它和 AllowCredentials 互斥；又比如 AllowedHeaders 设为空 slice 会导致预检失败——因为浏览器默认会带 Origin 和 Access-Control-Request-Method，而库不会自动补上。

• AllowedOrigins：生产环境别写 ["*"]，换成具体域名数组，如 ["https://app.example.com", "https://staging.example.com"]
• AllowedHeaders：至少包含 "Content-Type" 和前端实际用的自定义头，比如 "Authorization"、"X-CSRF-Token"；设为 handlers.AllowedHeaders([]string{"*"}) 在 rs/cors 中不生效，得用 cors.DefaultHeaders 或明确列出
• AllowCredentials：启用前确认前端是否真需要 cookie 或 auth token；启用后必须删掉 "*"，并确保每个 origin 都是完整协议+域名
• MaxAge：设成 3600（1小时）能减少重复预检，但改配置后客户端缓存可能延迟生效，调试时可先设小点

本地开发 vs 生产环境的配置差异

开发时图省事用 "*" 和 AllowCredentials: true 组合，结果一上线就 401——这是最典型的环境错配。本质不是 Go 问题，而是浏览器策略在不同 Origin 下行为一致，但你的配置没跟上。

• 开发环境：可用 AllowedOrigins: []string{"http://localhost:3000", "http://127.0.0.1:3000"}，加 Debug: true 看日志
• 生产环境：禁止 "*"，origin 必须精确匹配（包括 https:// 和末尾斜杠）；关闭 Debug；考虑加 Vary: Origin 头（rs/cors 默认加，gorilla/handlers 不加，需手动补）
• CDN 或反向代理（如 Nginx）后面部署时，注意它们可能覆盖或删除你写的 CORS 头，得检查响应实际发出的 header

今天带大家了解了的相关知识，希望对你有所帮助；关于Golang的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~