Go语言实现HTTP跨域处理（CORS详解与实战教程）

什么是跨域（CORS）？

跨域是指浏览器出于安全考虑，限制一个源（origin）的网页向另一个源的服务器发起请求。源由协议、域名和端口三部分组成。例如：

• https://api.example.com:443 与 http://app.example.com:80 是不同源（协议和端口不同）
• http://localhost:3000 与 http://localhost:8080 也是不同源（端口不同）

为了解决这个问题，服务器需要在响应头中添加特定的 CORS 字段，告诉浏览器“我允许这个来源访问我的资源”。

方法一：手动设置响应头（适合简单场景）

最基础的方式是在每个 HTTP 处理函数中手动添加 CORS 相关的响应头：

package mainimport (    "fmt"    "net/http")func helloHandler(w http.ResponseWriter, r *http.Request) {    // 设置 CORS 头    w.Header().Set("Access-Control-Allow-Origin", "*")    w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")    w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")    // 处理预检请求（OPTIONS）    if r.Method == "OPTIONS" {        w.WriteHeader(http.StatusOK)        return    }    // 实际业务逻辑    fmt.Fprintf(w, "Hello from Go!")}func main() {    http.HandleFunc("/hello", helloHandler)    fmt.Println("Server running on :8080")    http.ListenAndServe(":8080", nil)}

上面代码中，我们设置了三个关键的 CORS 响应头：

• Access-Control-Allow-Origin：指定允许访问的源，* 表示允许所有源（生产环境建议指定具体域名）
• Access-Control-Allow-Methods：允许的 HTTP 方法
• Access-Control-Allow-Headers：允许客户端发送的自定义请求头

方法二：使用第三方库（推荐）

对于复杂项目，手动设置每个路由的 CORS 头非常繁琐。我们可以使用成熟的第三方库，比如 github.com/rs/cors。

首先安装库：

go get github.com/rs/cors

然后在代码中使用中间件方式全局启用 CORS：

package mainimport (    "fmt"    "net/http"    "github.com/rs/cors")func helloHandler(w http.ResponseWriter, r *http.Request) {    fmt.Fprintf(w, "Hello with CORS middleware!")}func main() {    mux := http.NewServeMux()    mux.HandleFunc("/hello", helloHandler)    // 创建 CORS 中间件    c := cors.New(cors.Options{        AllowedOrigins: []string{"http://localhost:3000", "https://your-frontend.com"},        AllowedMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},        AllowedHeaders: []string{"*"},        // 是否允许携带凭证（如 cookies）        AllowCredentials: true,    })    // 将 CORS 中间件包装到主处理器上    handler := c.Handler(mux)    fmt.Println("Server running on :8080")    http.ListenAndServe(":8080", handler)}

这种方式更加清晰、可维护，并且支持细粒度配置。你可以根据实际需求调整 AllowedOrigins 等选项。

常见问题与最佳实践

• 不要在生产环境使用 Access-Control-Allow-Origin: *：这会带来安全风险，尤其是当你的 API 涉及用户认证时。
• 处理预检请求（Preflight Request）：浏览器在发送非简单请求（如带自定义头的 POST）前会先发一个 OPTIONS 请求，务必正确响应。
• 调试技巧：使用浏览器开发者工具的 Network 面板查看请求是否被 CORS 阻止，以及响应头是否正确设置。

总结

通过本文，你已经掌握了在 Go语言 中处理 HTTP跨域 的两种主流方法。无论是手动设置响应头还是使用 cors 库，核心都是正确配置 CORS 响应头。掌握这些技巧，能让你的 网络编程 项目更健壮、更安全。希望这篇教程对初学者友好，助你轻松跨越 CORS 这道坎！

关键词：Go语言, HTTP跨域, CORS, 网络编程