在go-zero中优雅处理CORS跨域请求

在构建现代Web应用时，跨域资源共享(CORS)是一个必须面对的问题。本文将详细介绍如何在go-zero框架中正确处理CORS，特别是OPTIONS预检请求。

CORS基础概念

CORS是一种安全机制，它允许Web应用服务器指定哪些外部源可以访问自己的资源。当浏览器检测到跨域请求时，会先发送一个OPTIONS方法的预检请求(preflight request)，以确定实际请求是否安全可发送。

go-zero的CORS解决方案

go-zero框架内置了三种处理CORS的方式：

1. WithCors：最简单的CORS支持方式，允许所有来源的跨域请求
2. WithCorsHeaders：允许自定义CORS头部信息
3. WithCustomCors：提供完全自定义的CORS处理逻辑

实现示例

以下是一个使用go-zero处理CORS的典型示例：

func main() {
    // 使用默认CORS配置
    server := rest.MustNewServer(
        rest.WithCors(),
    )
    
    // 或者自定义CORS头部
    server := rest.MustNewServer(
        rest.WithCorsHeaders("Content-Type", "Authorization"),
    )
    
    // 或者完全自定义CORS逻辑
    server := rest.MustNewServer(
        rest.WithCustomCors(func(header http.Header) {
            header.Set("Access-Control-Allow-Origin", "*")
            header.Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE")
            header.Set("Access-Control-Allow-Headers", "Content-Type, Authorization")
        }, nil),
    )
}

常见问题解决

开发者常遇到的问题是OPTIONS预检请求返回405错误。这是因为没有正确配置CORS中间件，导致框架无法识别OPTIONS方法。通过使用上述go-zero提供的CORS中间件，可以自动处理OPTIONS请求，返回正确的204状态码。

最佳实践

1. 生产环境中应避免使用通配符(*)作为允许的来源，应明确指定可信域名
2. 根据实际需求选择适当的CORS配置方式
3. 对于复杂场景，使用WithCustomCors可以灵活控制CORS行为
4. 注意CORS配置应与业务路由配置一起完成

通过go-zero内置的CORS支持，开发者可以轻松解决跨域问题，专注于业务逻辑开发。