使用 rs/cors 中间件是解决 golang 后端跨域问题的推荐方案,通过配置 allowedorigins、allowedmethods 等参数可精准控制 cors 策略,支持 net/http 和 gin 框架,能自动处理预检请求且避免手动设置头部的遗漏风险,生产环境应避免通配符并明确指定可信域名,最终实现安全高效的跨域通信。
在使用 Golang 构建后端服务时,尤其是配合前端框架(如 Vue、React)开发时,经常会遇到跨域请求(CORS)问题。浏览器出于安全考虑,会阻止跨域的 AJAX 请求,因此需要在服务端配置 CORS 策略来允许特定或全部来源的请求。
最常见且推荐的做法是使用成熟的第三方中间件
github.com/rs/cors
来处理跨域问题。下面详细介绍如何配置。
使用
rs/cors
rs/cors
中间件配置 CORS
rs/cors
是一个轻量、功能完整的 CORS 中间件,适用于
net/http
和
gorilla/mux
、
gin
等主流 Go Web 框架。
立即学习“go语言免费学习笔记(深入)”;
1. 安装依赖
go get github.com/rs/cors
2. 在
net/http
net/http
中使用
如果你使用的是标准库
net/http
,可以这样配置:
package main import ( "net/http" "github.com/rs/cors" ) func main() { mux := http.NewServeMux() mux.HandleFunc("/api/hello", func(w http.ResponseWriter, r *http.Request) { w.Header().Set("Content-Type", "application/json") w.Write([]byte(`{"message": "Hello CORS!"}`)) }) // 配置 CORS 中间件 c := cors.New(cors.Options{ AllowedOrigins: []string{"http://localhost:3000", "https://your-frontend.com"}, // 允许的前端域名 AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}, AllowedHeaders: []string{"*"}, // 允许所有头部,也可以指定如 "Content-Type", "Authorization" ExposedHeaders: []string{"Content-Length"}, AllowCredentials: true, // 允许携带凭证(如 cookies) MaxAge: 3600, // 预检请求缓存时间(秒) }) // 将 CORS 中间件包装在 handler 外层 handler := c.Handler(mux) http.ListenAndServe(":8080", handler) }
3. 在 Gin 框架中使用
如果你使用的是 Gin 框架,也可以使用
rs/cors
,但更常见的是使用 Gin 自带的 CORS 中间件,或者继续用
rs/cors
。
方法一:使用
rs/cors
包装 Gin Engine
package main import ( "github.com/gin-gonic/gin" "github.com/rs/cors" "net/http" ) func main() { r := gin.Default() r.GET("/api/hello", func(c *gin.Context) { c.JSON(http.StatusOK, gin.H{ "message": "Hello from Gin with CORS", }) }) // 使用 rs/cors 包装 corsMiddleware := cors.New(cors.Options{ AllowedOrigins: []string{"http://localhost:3000"}, AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}, AllowedHeaders: []string{"*"}, AllowCredentials: true, }) handler := corsMiddleware.Handler(r) http.ListenAndServe(":8080", handler) }
方法二:使用 Gin 内置方式(不推荐用于复杂场景)
r.Use(func(c *gin.Context) { c.Header("Access-Control-Allow-Origin", "http://localhost:3000") c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS") c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization") if c.Request.Method == "OPTIONS" { c.AbortWithStatus(204) return } c.Next() })
注意:手动设置 Header 的方式容易遗漏细节(如凭证、预检处理),建议优先使用中间件。
CORS 配置参数说明
| 参数 | 说明 |
|---|---|
| @@######@@ | 允许访问的前端域名列表,生产环境避免使用 @@######@@ |
| @@######@@ | 允许的 HTTP 方法 |
| @@######@@ | 允许的请求头,设为 @@######@@ 表示允许所有 |
| @@######@@ | 是否允许携带 Cookie 或认证信息,设为 @@######@@ 时 @@######@@ 不能为 @@######@@ |
| @@######@@ | 客户端可读取的响应头 |
| @@######@@ | 预检请求(OPTIONS)的缓存时间,减少重复请求 |
常见问题与注意事项
-
*
AllowedOrigins
不能为 `
*
withCredentials: true
AllowedMethods
AllowCredentials: true
AllowedHeaders
AllowedOrigins
[]string{"*"}*`。
-
预检请求(OPTIONS)自动处理
AllowCredentials
会自动拦截并响应 OPTIONS 请求,无需手动处理。
-
生产环境避免开放所有来源
不要使用true
,应明确指定可信的前端域名。
-
路径级别控制(高级)
AllowedOrigins
支持通过
*
实现动态来源判断:
ExposedHeaders
基本上就这些。用
MaxAge
是最简单、最安全的方案,几行代码就能解决绝大多数跨域问题。
Access-Control-Allow-Origin
同时携带凭证** 如果前端发送了
,服务端
,那么
必须是具体域名,不能是
rs/cors
AllowedOrigins: []string{"*"}
rs/cors
AllowOriginFunc
AllowOriginFunc: func(r *http.Request, origin string) bool { return origin == "http://localhost:3000" },
rs/cors
评论(已关闭)
评论已关闭