go-zero框架中CORS跨域请求的优雅处理方案

在现代Web开发中，跨域资源共享(CORS)是前后端分离架构中必须面对的问题。本文将深入探讨如何在go-zero框架中正确处理CORS请求，特别是针对OPTIONS预检请求的解决方案。

CORS机制的核心原理

当浏览器发起跨域请求时，会先发送一个OPTIONS方法的预检请求(preflight)，用于确认服务器是否允许实际请求。服务器需要正确处理这个预检请求，返回适当的CORS头信息，浏览器才会继续发送真正的请求。

go-zero的CORS处理方案

go-zero框架为开发者提供了三种内置的CORS处理方式：

1. WithCors：最基础的CORS支持，允许所有来源的跨域请求
2. WithCorsHeaders：支持自定义CORS头信息
3. WithCustomCors：提供完全自定义的CORS处理逻辑

实现示例

以下是使用go-zero处理CORS的典型代码示例：

func main() {
    srv := rest.MustNewServer(
        rest.RestConf{
            Port: 8888,
        },
        rest.WithCors(), // 启用基础CORS支持
    )
    defer srv.Stop()

    // 注册路由
    srv.AddRoutes([]rest.Route{
        {
            Method:  http.MethodGet,
            Path:    "/api/data",
            Handler: handleData,
        },
    })

    srv.Start()
}

高级配置

对于需要更精细控制的场景，可以使用WithCustomCors：

rest.WithCustomCors(
    func(header http.Header) {
        header.Set("Access-Control-Allow-Origin", "https://example.com")
        header.Set("Access-Control-Allow-Methods", "GET,POST,PUT")
        header.Set("Access-Control-Allow-Headers", "Content-Type")
    },
    nil,
)

常见问题解决

1. OPTIONS请求返回405：确保已正确配置CORS中间件
2. 头信息不生效：检查中间件的添加顺序，CORS中间件应该优先处理
3. 复杂请求被拦截：确认预检请求和实际请求的头信息配置一致

最佳实践建议

1. 生产环境中应该明确指定允许的源(Origin)，而不是使用通配符
2. 对于敏感操作，考虑结合CSRF保护机制
3. 根据业务需求合理设置Access-Control-Max-Age，减少预检请求

通过go-zero提供的这些CORS处理方案，开发者可以轻松应对各种跨域场景，构建安全可靠的前后端分离应用。