当前位置：首页 > 文章列表 > Golang > Go教程 > GolangCORS跨域配置全解析

GolangCORS跨域配置全解析

2026-04-12 20:35:33 0浏览收藏

本文深入解析了Golang Web服务中应对浏览器同源策略限制的CORS跨域问题，系统介绍了三种主流解决方案：使用成熟稳定的gorilla/handlers库进行声明式、可配置的中间件集成；通过手动设置响应头实现轻量级无依赖控制；以及选用专精于CORS的rs/cors库获得更简洁灵活的细粒度管理，尤其涵盖带凭据请求等关键生产场景的注意事项——无论你是初学者寻求开箱即用的配置，还是资深开发者需要安全可控的定制化方案，都能从中快速掌握高效、规范且符合最佳实践的Golang跨域处理方法。

Golang处理跨域请求CORS配置方法

Go语言（Golang）在开发Web服务时，经常会遇到浏览器的同源策略限制，导致前端请求被拦截。要解决这个问题，需要正确配置CORS（跨域资源共享）。下面介绍几种在Golang中处理CORS请求的常用方法。

1. 使用第三方库 gorilla/handlers

最简单的方式是使用 gorilla/handlers 库中的 CORS 中间件，它提供了灵活的配置选项。

安装库：

go get github.com/gorilla/handlers

示例代码：

package main

import (
  "net/http"
  "github.com/gorilla/mux"
  "github.com/gorilla/handlers"
)

func main() {
  r := mux.NewRouter()
  r.HandleFunc("/api/hello", func(w http.ResponseWriter, r *http.Request) {
    w.Write([]byte("Hello CORS!"))
  })

  headersOk := handlers.AllowedHeaders([]string{"X-Requested-With", "Content-Type", "Authorization"})
  originsOk := handlers.AllowedOrigins([]string{"https://your-frontend.com"}) // 可替换为 * 允许所有
  methodsOk := handlers.AllowedMethods([]string{"GET", "POST", "PUT", "DELETE", "OPTIONS"})

  http.ListenAndServe(":8080", handlers.CORS(originsOk, headersOk, methodsOk)(r))
}

说明：

AllowedOrigins：指定允许的前端域名，生产环境避免使用 *。
AllowedHeaders：指定允许的请求头字段。
AllowedMethods：指定允许的HTTP方法。

2. 手动设置CORS响应头

如果不想引入第三方库，可以直接在处理函数中手动设置CORS头。

func enableCORS(h http.HandlerFunc) http.HandlerFunc {
  return func(w http.ResponseWriter, r *http.Request) {
    if origin := r.Header.Get("Origin"); origin != "" {
      w.Header().Set("Access-Control-Allow-Origin", origin)
      w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
      w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
    }

    if r.Method == "OPTIONS" {
      w.WriteHeader(http.StatusOK)
      return
    }

    h(w, r)
  }
}

// 使用示例
http.HandleFunc("/api/data", enableCORS(func(w http.ResponseWriter, r *http.Request) {
  w.Write([]byte("Data with CORS"))
}))

注意：

预检请求（OPTIONS）需提前响应，不继续处理业务逻辑。
Access-Control-Allow-Origin 可设为具体域名，避免设为 * 当携带凭据时。

3. 支持带凭据的跨域请求

如果前端请求携带 Cookie 或使用 withCredentials，需额外配置：

w.Header().Set("Access-Control-Allow-Origin", "https://your-frontend.com") // 不能为 * w.Header().Set("Access-Control-Allow-Credentials", "true")

同时前端请求需设置：

fetch("http://localhost:8080/api", { credentials: "include" })

服务器端必须明确指定允许的源，不能使用通配符 *。

4. 使用第三方库如 rs/cors

另一个轻量级选择是 rs/cors，专为CORS设计，使用更简洁。

go get github.com/rs/cors

示例：

import "github.com/rs/cors"

func main() {
  r := mux.NewRouter()
  r.HandleFunc("/api", handler)

  c := cors.New(cors.Options{
    AllowedOrigins: []string{"https://your-frontend.com"},
    AllowedMethods: []string{"GET", "POST", "PUT", "DELETE"},
    AllowedHeaders: []string{"*"},
    AllowCredentials: true,
  })

  handler := c.Handler(r)
  http.ListenAndServe(":8080", handler)
}

该库支持细粒度控制，适合复杂场景。

基本上就这些。根据项目需求选择合适的方式，推荐使用 gorilla/handlers 或 rs/cors 来简化配置，避免遗漏关键头信息。

终于介绍完啦！小伙伴们，这篇关于《GolangCORS跨域配置全解析》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布Golang相关知识，快来关注吧！