使用 rs/cors 中间件是解决 golang 后端跨域问题的推荐方案,通过配置 allowedorigins、allowedmethods 等参数可精准控制 cors 策略,支持 net/http 和 gin 框架,能自动处理预检请求且避免手动设置头部的遗漏风险,生产环境应避免通配符并明确指定可信域名,最终实现安全高效的跨域通信。
在使用 Golang 构建后端服务时,尤其是配合前端框架(如 Vue、React)开发时,经常会遇到跨域请求(CORS)问题。浏览器出于安全考虑,会阻止跨域的 AJAX 请求,因此需要在服务端配置 CORS 策略来允许特定或全部来源的请求。
最常见且推荐的做法是使用成熟的第三方中间件
github.com/rs/cors
rs/cors
rs/cors
net/http
gorilla/mux
gin
立即学习“go语言免费学习笔记(深入)”;
go get github.com/rs/cors
net/http
如果你使用的是标准库
net/http
package main
import (
"net/http"
"github.com/rs/cors"
)
func main() {
mux := http.NewServeMux()
mux.HandleFunc("/api/hello", func(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Content-Type", "application/json")
w.Write([]byte(`{"message": "Hello CORS!"}`))
})
// 配置 CORS 中间件
c := cors.New(cors.Options{
AllowedOrigins: []string{"http://localhost:3000", "https://your-frontend.com"}, // 允许的前端域名
AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
AllowedHeaders: []string{"*"}, // 允许所有头部,也可以指定如 "Content-Type", "Authorization"
ExposedHeaders: []string{"Content-Length"},
AllowCredentials: true, // 允许携带凭证(如 cookies)
MaxAge: 3600, // 预检请求缓存时间(秒)
})
// 将 CORS 中间件包装在 handler 外层
handler := c.Handler(mux)
http.ListenAndServe(":8080", handler)
}如果你使用的是 Gin 框架,也可以使用
rs/cors
rs/cors
方法一:使用 rs/cors
package main
import (
"github.com/gin-gonic/gin"
"github.com/rs/cors"
"net/http"
)
func main() {
r := gin.Default()
r.GET("/api/hello", func(c *gin.Context) {
c.JSON(http.StatusOK, gin.H{
"message": "Hello from Gin with CORS",
})
})
// 使用 rs/cors 包装
corsMiddleware := cors.New(cors.Options{
AllowedOrigins: []string{"http://localhost:3000"},
AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
AllowedHeaders: []string{"*"},
AllowCredentials: true,
})
handler := corsMiddleware.Handler(r)
http.ListenAndServe(":8080", handler)
}方法二:使用 Gin 内置方式(不推荐用于复杂场景)
r.Use(func(c *gin.Context) {
c.Header("Access-Control-Allow-Origin", "http://localhost:3000")
c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization")
if c.Request.Method == "OPTIONS" {
c.AbortWithStatus(204)
return
}
c.Next()
})注意:手动设置 Header 的方式容易遗漏细节(如凭证、预检处理),建议优先使用中间件。
| 参数 | 说明 |
|---|---|
| @@######@@ | 允许访问的前端域名列表,生产环境避免使用 @@######@@ |
| @@######@@ | 允许的 HTTP 方法 |
| @@######@@ | 允许的请求头,设为 @@######@@ 表示允许所有 |
| @@######@@ | 是否允许携带 Cookie 或认证信息,设为 @@######@@ 时 @@######@@ 不能为 @@######@@ |
| @@######@@ | 客户端可读取的响应头 |
| @@######@@ | 预检请求(OPTIONS)的缓存时间,减少重复请求 |
*AllowedOrigins
*
AllowedMethods
AllowedHeaders
[]string{"*"}预检请求(OPTIONS)自动处理
AllowCredentials
生产环境避免开放所有来源
不要使用
true
路径级别控制(高级)
AllowedOrigins
*
ExposedHeaders
基本上就这些。用
MaxAge
Access-Control-Allow-Origin
同时携带凭证** 如果前端发送了
,服务端
,那么
必须是具体域名,不能是
rs/cors
AllowedOrigins: []string{"*"}rs/cors
AllowOriginFunc
AllowOriginFunc: func(r *http.Request, origin string) bool {
return origin == "http://localhost:3000"
},rs/cors
以上就是Golang处理跨域请求怎么做 配置CORS中间件方案的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
483
收藏
