Go的net/http默认不支持CORS,需手动设置响应头或使用gorilla/handlers等中间件;注意Access-Control-Allow-Origin与Credentials不能共存于"*",OPTIONS预检必须正确响应。
Go 的 net/http 默认不处理 CORS
Go 标准库的 http.ServeMux 和 http.ListenAndServe 完全不关心 Origin、Access-Control-Allow-* 等头字段。浏览器发起跨域请求时,如果服务端没返回正确的响应头,预检请求(OPTIONS)会失败,或后续请求被拦截——这不是前端写错了,是后端根本没应答 CORS 协议。
手动加 Header 最简但易漏细节
在 handler 中直接写 w.Header().Set("Access-Control-Allow-Origin", "*") 能解决部分问题,但有硬伤:
-
Access-Control-Allow-Origin不能和Credentials: true共存,若前端设了withCredentials: true,这里必须填具体域名(如"https://example.com"),不能用"*" - 带自定义 header(如
X-Auth-Token)或非简单方法(PUT/DELETE)的请求,需显式回应Access-Control-Allow-Headers和Access-Control-Allow-Methods - 预检请求(OPTIONS)必须被路由捕获并返回 204,否则浏览器直接报错
preflight is invalid
用 gorilla/handlers 中间件省去重复逻辑
比手写更可靠:它自动处理 OPTIONS、校验 Origin、合并 headers,且支持细粒度配置。安装:go get -u github.com/gorilla/handlers。
基础用法示例:
立即学习“go语言免费学习笔记(深入)”;
import "github.com/gorilla/handlers"func main() { r := http.NewServeMux() r.HandleFunc("/api/data", dataHandler)
// 允许所有源(开发用),禁用 credentials corsHandler := handlers.CORS( handlers.AllowedOrigins([]string{"*"}), handlers.AllowedMethods([]string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}), handlers.AllowedHeaders([]string{"Content-Type", "Authorization"}), )(r) http.ListenAndServe(":8080", corsHandler)}
生产环境建议替换
handlers.AllowedOrigins([]string{"https://myapp.com"}),并根据实际接口补充handlers.ExposedHeaders或handlers.MaxAge。自定义中间件要小心 OPTIONS 拦截顺序
如果不用第三方库,自己写中间件,关键点是:必须在其他业务 handler 之前检查 method == "OPTIONS" 并提前 return,否则可能走到下游逻辑再 panic 或返回 404/500。
典型错误写法:
if r.Method == "OPTIONS" { w.WriteHeader(204); return }放在 handler 内部末尾——这时 headers 可能已被其他中间件写过,再 Set 会 panic。正确姿势是封装成 wrap 函数,在入口处统一拦截:
func corsMiddleware(next http.Handler) http.Handler { return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { w.Header().Set("Access-Control-Allow-Origin", "https://myapp.com") w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS") w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization") w.Header().Set("Access-Control-Allow-Credentials", "true")if r.Method == "OPTIONS" { w.WriteHeader(http.StatusNoContent) return } next.ServeHTTP(w, r) })}
注意:
Access-Control-Allow-Credentials: true和Access-Control-Allow-Origin: "*"是互斥的,这个组合会导致浏览器静默拒绝,连错误都不报——这是最常被忽略的兼容性断点。
