如何使用Golang处理跨域JSON请求_使用Header和中间件实现CORS
Go语言处理CORS需正确设置响应头并处理OPTIONS预检请求,关键Header包括Access-Control-Allow-Origin、Methods、Headers等,推荐用中间件统一管理,生产环境须校验Origin白名单且避免通配符与credentials冲突。
Go语言处理跨域(CORS)JSON请求,核心是正确设置响应头,并在必要时处理预检(OPTIONS)请求。不需要第三方库也能轻松实现,关键在于理解浏览器的CORS机制和Gin/HTTP标准库中的控制点。
理解CORS关键Header
浏览器发起跨域请求时,服务端必须返回特定响应头,否则前端会被拦截。最常用且必需的有:
-
Access-Control-Allow-Origin:指定允许访问的源,如
"https://example.com"或通配符"*"(注意:"*"不能与凭证(credentials)共存) -
Access-Control-Allow-Methods:声明允许的HTTP方法,如
"GET, POST, PUT, DELETE, OPTIONS" -
Access-Control-Allow-Headers:列出允许客户端携带的自定义请求头,如
"Content-Type, Authorization, X-Requested-With" - Access-Control-Expose-Headers(可选):声明哪些响应头可被前端JS读取(默认只暴露简单响应头)
-
Access-Control-Allow-Credentials(可选):设为
"true"时,前端需配置credentials: 'include',此时Allow-Origin不能为"*"
手动设置Header(标准net/http)
适用于轻量服务或学习原理。在处理函数中直接写入Header即可:
func jsonHandler(w http.ResponseWriter, r *http.Request) {
// 设置CORS头
w.Header().Set("Access-Control-Allow-Origin", "https://myapp.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
w.Header().Set("Access-Control-Allow-Credentials", "true")
// 处理预检请求
if r.Method == "OPTIONS" {
w.WriteHeader(http.StatusOK)
return
}
// 正常JSON响应
w.Header().Set("Content-Type", "application/json")
json.NewEncoder(w).Encode(map[string]string{"message": "success"})
}
使用中间件统一处理(推荐)
避免每个handler重复写Header,封装成中间件更清晰、易维护。以 Gin 框架为例:
func CORSMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
origin := c.Request.Header.Get("Origin")
if origin != "" {
c.Header("Access-Control-Allow-Origin", origin)
c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, PATCH, DELETE, OPTIONS")
c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With")
c.Header("Access-Control-Allow-Credentials", "true")
c.Header("Access-Control-Expose-Headers", "Content-Length, X-Total-Count")
}
if c.Request.Method == "OPTIONS" {
c.AbortWithStatus(http.StatusOK)
return
}
c.Next()
}
}
// 使用方式
r := gin.Default()
r.Use(CORSMiddleware())
r.POST("/api/data", handleJSON)
注意:Gin 默认不自动处理 OPTIONS 请求,所以中间件里要显式拦截并返回 200;若用 net/http,需注册 http.HandleFunc("OPTIONS", ...) 或复用同一 handler 判断 method。
生产环境注意事项
实际部署时别忽略这些细节:
- 不要对所有来源都用
"*",尤其涉及登录态或敏感操作时,应校验 Origin 白名单 - 如果前端带 cookie 或 token(
credentials: 'include'),后端必须设Allow-Credentials: true且Allow-Origin为具体域名 - 某些反向代理(如 Nginx)可能覆盖响应头,确保它未清除或重写 CORS 相关 Header
- 开发阶段可用
localhost:3000等地址测试,但线上务必用真实域名做 Origin 校验
基本上就这些。CORS本身不复杂,但容易因一个Header漏设或值冲突导致前端静默失败。建议先用 curl 模拟 OPTI
ONS 请求验证响应头,再联调前端,效率更高。
