17370845950

Go中实现CORS需正确设置响应头：Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers；预检请求须响应OPTIONS并设Access-Control-Max-Age；带凭证时Origin不能为*且需设Access-Control-Allow-Credentials:true；推荐封装为中间件统一处理。

在 Go 中实现跨域请求（CORS），核心是通过 HTTP 响应头（Header）正确设置允许来源、方法、头部等字段。标准做法不是“手动拼 Header 字符串”，而是遵循 CORS 规范，有选择地设置关键字段，避免遗漏或冲突。

基础 CORS Header 设置

最简但有效的跨域响应需包含以下三个 Header：

• Access-Control-Allow-Origin：指定允许访问的源，如 "https://example.com"；设为 "*" 表示允许任意源（但注意：带凭证时不可用 "*"）
• Access-Control-Allow-Methods：列出允许的 HTTP 方法，如 "GET, POST, PUT, DELETE, OPTIONS"
• Access-Control-Allow-Headers：声明客户端可携带的自定义请求头，如 "Content-Type, Authorization, X-Requested-With"

处理预检请求（OPTIONS）

浏览器对非简单请求（如含自定义 Header 或非 GET/POST 方法）会先发一个 OPTIONS 预检请求。服务端必须响应它，且不能跳过业务逻辑中间件：

• 单独匹配 OPTIONS 请求路径（如 r.OPTIONS("/api/*", handler)）
• 响应中至少返回上述三项 Header，并加 Access-Control-Max-Age（缓存预检结果，单位秒）
• 响应体可为空，状态码用 204 No Content 或 200 OK

支持凭证（Cookie / Authorization）

若前端请求设置了 credentials: 'include'，后端需额外满足：

• Access-Control-Allow-Origin 不能为 "*"，必须明确写出协议+域名（如 "https://myapp.com"）
• 添加 Access-Control-Allow-Credentials: "true"
• 确保 Access-Control-Allow-Headers 包含 "Authorization"（如需鉴权）

推荐实践：封装中间件

避免每个 Handler 重复写 Header，建议封装成 Gin / Echo / net/http 中间件。例如 Gin 中：

func CORSMiddleware() gin.HandlerFunc {
    return func(c *gin.Context) {
        origin := c.Request.Header.Get("Origin")
        if origin != "" {
            c.Header("Access-Control-Allow-Origin", origin)
            c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
            c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With")
            c.Header("Access-Control-Allow-Credentials", "true")
            c.Header("Access-Control-Expose-Headers", "Content-Length, X-Total-Count")
        }

        if c.Request.Method == "OPTIONS" {
            c.AbortWithStatus(204)
            return
        }
        c.Next()
    }
}

然后全局注册：r.Use(CORSMiddleware())

基本上就这些。关键是按需设置、区分简单请求与预检、谨慎对待 credentials 场景——不复杂但容易忽略细节。