Spring Boot处理跨域请求(CORS)的完整指南

最新推荐文章于 2025-04-23 09:58:20 发布
最新推荐文章于 2025-04-23 09:58:20 发布
阅读量828 收藏 17
点赞数 21
分类专栏: java 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16242613/article/details/147355260
版权

跨域资源共享(CORS)是现代Web开发中常见的问题,Spring Boot提供了多种方式来处理CORS请求。下面我将详细介绍各种实现方式及其适用场景。

一、CORS基础概念

1. 什么是跨域请求?

当浏览器从一个域名的网页去请求另一个域名的资源时,如果域名、端口或协议不同,就会产生跨域请求。出于安全考虑,浏览器默认会阻止这类请求。

2. 简单请求 vs 预检请求

类型条件处理方式
简单请求GET/HEAD/POST方法,且Content-Type为text/plain、multipart/form-data或application/x-www-form-urlencoded直接发送请求,带Origin头
预检请求(OPTIONS)不符合简单请求条件的其他请求先发送OPTIONS请求,获得许可后再发送实际请求

二、Spring Boot处理CORS的5种方式

1. 使用@CrossOrigin注解

适用场景:针对单个控制器或方法级别的CORS配置

@RestController
@RequestMapping("/api")
public class MyController {
    
    // 允许特定源的跨域访问
    @CrossOrigin(origins = "https://example.com")
    @GetMapping("/resource")
    public ResponseEntity<String> getResource() {
        return ResponseEntity.ok("跨域资源");
    }
    
    // 更详细的配置
    @CrossOrigin(origins = {"https://example.com", "https://api.example.com"},
                allowedHeaders = {"Content-Type", "Authorization"},
                methods = {RequestMethod.GET, RequestMethod.POST},
                maxAge = 3600)
    @PostMapping("/save")
    public ResponseEntity<String> saveResource() {
        return ResponseEntity.ok("保存成功");
    }
}

2. 全局CORS配置

适用场景:应用级别的统一CORS配置

@Configuration
public class WebConfig implements WebMvcConfigurer {
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")  // 匹配的路径
                .allowedOrigins("https://example.com", "https://api.example.com") // 允许的源
                .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的方法
                .allowedHeaders("*") // 允许的请求头
                .exposedHeaders("Authorization", "Content-Disposition") // 暴露的响应头
                .allowCredentials(true) // 是否允许发送cookie
                .maxAge(3600); // 预检请求缓存时间(秒)
        
        // 可以添加多个配置
        registry.addMapping("/public/**")
                .allowedOrigins("*");
    }
}

3. 使用Filter处理CORS

适用场景:需要更底层控制或与非Spring Web环境集成

@Configuration
public class CorsFilterConfig {
    
    @Bean
    public FilterRegistrationBean<CorsFilter> corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        
        // 配置CORS规则
        config.setAllowCredentials(true);
        config.addAllowedOrigin("https://example.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        config.setMaxAge(3600L);
        
        // 对所有路径生效
        source.registerCorsConfiguration("/**", config);
        
        FilterRegistrationBean<CorsFilter> bean = 
            new FilterRegistrationBean<>(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 设置最高优先级
        
        return bean;
    }
}

4. Spring Security中的CORS配置

适用场景:使用Spring Security的项目

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and() // 启用CORS支持
            .csrf().disable() // 通常CORS和CSRF不能同时使用
            .authorizeRequests()
            .antMatchers("/api/public/**").permitAll()
            .anyRequest().authenticated();
    }
    
    // 提供CORS配置源
    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
        configuration.setAllowedMethods(Arrays.asList("GET", "POST"));
        configuration.setAllowedHeaders(Arrays.asList("*"));
        
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        
        return source;
    }
}

5. 响应头手动设置

适用场景:需要动态控制CORS头

@RestController
public class DynamicCorsController {
    
    @GetMapping("/dynamic-cors")
    public ResponseEntity<String> dynamicCors(HttpServletRequest request, 
                                           HttpServletResponse response) {
        // 根据请求动态设置CORS头
        String origin = request.getHeader("Origin");
        if (isAllowedOrigin(origin)) {
            response.setHeader("Access-Control-Allow-Origin", origin);
            response.setHeader("Access-Control-Allow-Credentials", "true");
            response.setHeader("Access-Control-Allow-Methods", "GET, POST");
        }
        
        return ResponseEntity.ok("动态CORS响应");
    }
    
    private boolean isAllowedOrigin(String origin) {
        // 实现你的源验证逻辑
        return origin != null && origin.endsWith("example.com");
    }
}

三、CORS配置详解

1. 核心响应头说明

响应头说明
Access-Control-Allow-Origin允许访问的源,可以是具体域名或*(不推荐使用*,特别是需要凭证时)
Access-Control-Allow-Methods允许的HTTP方法(GET, POST等)
Access-Control-Allow-Headers允许的请求头
Access-Control-Expose-Headers浏览器可以访问的响应头
Access-Control-Allow-Credentials是否允许发送cookie(true/false),设为true时Allow-Origin不能为*
Access-Control-Max-Age预检请求结果的缓存时间(秒)

2. 常见问题解决方案

问题1:预检请求(OPTIONS)被拦截

解决方案

  • 确保OPTIONS请求不被安全框架拦截
  • 在Spring Security中配置:
    http.cors().and()
    .authorizeRequests()
    .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
问题2:带凭证的请求失败

解决方案

  • 确保allowCredentials(true)和具体的allowedOrigins(不能是*)
  • 前端需要设置withCredentials: true(如axios)
问题3:特定响应头无法获取

解决方案

  • 使用exposedHeaders暴露需要的头:
    .exposedHeaders("Custom-Header", "Authorization")

四、最佳实践建议

  1. 生产环境不要使用通配符*:明确指定允许的源
  2. 合理限制HTTP方法:只开放必要的方法(GET/POST等)
  3. 考虑使用环境变量:动态配置允许的源
    @Value("${cors.allowed.origins}")
private String[] allowedOrigins;

// 在配置中使用
.allowedOrigins(allowedOrigins)
  4. 结合安全框架:Spring Security项目使用专门的CORS配置
  5. 测试不同场景:简单请求和预检请求都要测试

五、完整配置示例

@Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
    
    @Value("${app.cors.allowed-origins}")
    private String[] allowedOrigins;
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins(allowedOrigins)
                .allowedMethods("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS")
                .allowedHeaders("*")
                .exposedHeaders("Authorization", "Content-Disposition")
                .allowCredentials(true)
                .maxAge(3600);
                
        registry.addMapping("/public/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "OPTIONS");
    }
    
    // 可选:提供CORS过滤器作为备选
    @Bean
    public FilterRegistrationBean<CorsFilter> corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.applyPermitDefaultValues();
        config.setAllowCredentials(true);
        config.setAllowedOrigins(Arrays.asList(allowedOrigins));
        source.registerCorsConfiguration("/**", config);
        
        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return bean;
    }
}

六、总结

Spring Boot提供了多种灵活的方式来处理CORS:

  1. 简单场景:使用@CrossOrigin注解
  2. 统一配置:实现WebMvcConfigureraddCorsMappings方法
  3. 底层控制:配置CorsFilter
  4. 安全项目:结合Spring Security的cors()配置
  5. 动态需求:手动设置响应头

根据项目需求选择合适的方式,并遵循安全最佳实践,可以有效地解决跨域问题,同时保证应用的安全性。
在这里插入图片描述

Spring Boot中的资源共享(CORS处理
省赚客开发者博客
09-06 802
本文介绍了Spring Boot处理CORS的多种方法,包括使用注解、配置类、全局配置、自定义过滤器以及与Spring Security、Zuul和Spring Cloud Gateway的结合使用。浏览器在发送实际的请求之前,会先发送一个预请求(OPTIONS请求),以确认服务器是否允许请求。在使用Spring Security的情况下,CORS处理需要与Spring Security的配置结合。Spring Boot提供了几种方式来处理CORS,包括使用注解、配置类和全局配置。
Spring Boot解决的五种方式
RHeng的博客
03-19 2893
Web开发中,资源共享(CORS)是一个常见的问题。
Spring Boot——CORS
秋书一叶的博客
05-31 2798
当使用Spring Boot开发Web应用程序时,有时需要处理请求请求是指在浏览器中,使用JavaScript从一个(或者端口、协议)向另一个(或者端口、协议)发起请求。默认情况下,浏览器会限制请求,以确保安全性。
SpringBoot教程(七) | SpringBoot解决问题
qq_20236937的博客
07-06 778
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为
Spring Boot 3方案详解:告别CORS烦恼
李白
12-05 1404
然而,它同样也有一些局限性,比如你可能需要手动处理一些CORS的细节,并且这种方式不如使用Spring提供的CORS支持那么直接和灵活。在某些情况下,你可能需要在Spring Security的配置中允许特定的CORS请求。具体实现时,你可以在Controller的方法中,通过HttpServletResponse对象来设置Access-Control-Allow-Origin等CORS相关的HTTP头。需要注意的是,手动设置响应头的方式相对繁琐,且容易遗漏某些必要的头信息,导致CORS配置不完整
Spring Boot 使用 CORS 解决请求问题
养歌的博客
01-10 2602
对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的下,那么势必会引起问题的出现。 那什么是呢? 指的是从一个名去请求另外一个名的资源。即请求时,浏览器不能执行其他名网站的脚本,是由浏览器的 “同源策略” 造成的,是浏览器施加的安全限制。的严格一点来说就是只要协议,名,端口有任何一个的不同,就被当作是。 下面举个例子: 判断下面 URL 是否和 http://www.baidu.com/a/a.html 同源 http://www.baidu.com/
SpringBoot设置(CORS
热门推荐
骑个小蜗牛的博客
03-23 4万+
目录什么是资源共享(CORS)1. 简单请求2. 非简单请求SpringBoot设置CORS1. 配置过滤器CorsFilter2. 实现接口WebMvcConfigurer3. 使用注解@CrossOrigin 什么是 请求url的协议、名、端口三者有任意一个不同即为问题是因为浏览器的同源策略的限制而产生的。 同源:请求url的协议、名、端口三者都相同即为同源(同一个)。 同源策略:同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全
Spring Boot Web应用开发 CORS 请求支持
08-30
Spring Boot Web应用开发 CORS 请求支持 CORS(Cross-Origin Resource Sharing,资源共享)是一种机制,它允许Web页面从不同的名下加载资源,而不受同源策略的限制。 在Spring Boot Web应用开发中,CORS ...
Spring boot 总结之处理cors的方法
08-28
Spring Boot 处理 CORS 的方法 Spring Boot 是一个基于 Java 的框架,用于快速构建生产级别的应用程序。然而,在构建前后端分离的项目时,我们经常会遇到问题。问题是指当我们的页面和接口在不同名下...
Spring Boot如何通过CORS处理问题
08-19
Spring Boot如何通过CORS处理问题 Spring Boot是一个基于Java的框架,为了解决问题,Spring Boot提供了CORS(Cross-origin-resource sharing)机制来解决问题。问题是由于浏览器的同源策略所致,...
Spring Boot项目中解决问题(四种方式)
m0_67266585的博客
12-05 5297
当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在发送我们输入的用户名,密码等数据之前,还发送了一次OPTIONS的请求,这是浏览器自动发送的,为了验证是否允许访问。*,这个在开发测试的时候可以这么设置,但如果是生产环境,建议不要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
Spring Boot 请求(CORS)处理全面指南
嗨,欢迎来到我的 CSDN 博客小天地!一名深耕多年的技术发烧友。在这里,我将把日常工作中积累的宝贵经验,从复杂架构设计的精妙之处,到代码优化的实战技巧,毫无保留地分享给大家。
04-08 3758
Spring Boot 请求(CORS)处理全面指南
SpringBootCORS问题详解和解决方案
lc66661111的博客
06-09 187
https://www.cnblogs.com/Andya/p/13590046.html
springspring bootspring cloud三者区别
帅帅的廉颇的博客
04-23 666
Spring(基础) → Spring Boot(快速开发) → Spring Cloud(分布式扩展)
查看Spring Boot项目所有配置信息的几种方法,包括 Actuator端点、日志输出、代码级获取 等方式,附带详细步骤和示例
爱的叹息的专栏
04-22 877
查看Spring Boot项目所有配置信息的几种方法,包括 Actuator端点、日志输出、代码级获取 等方式,附带详细步骤和示例
使用 Spring Boot Admin 通过图形界面查看应用配置信息的完整配置详解,包含代码示例和注释,最后以表格总结关键配置
爱的叹息的专栏
04-22 715
使用 Spring Boot Admin 通过图形界面查看应用配置信息的完整配置详解,包含代码示例和注释,最后以表格总结关键配置
Spring Boot 配置源详解(完整版)
最新发布
爱的叹息的专栏
04-23 1164
Spring Boot 配置源详解(完整版)
Spring Boot中`logging.config`配置项的详解及使用说明
爱的叹息的专栏
04-22 560
Spring Boot中`logging.config`配置项的详解及使用说明
Spring Boot CORS详解:问题与实战示例
Spring Boot 通过CORS实现问题是一个常见的开发需求,尤其是在前后端分离的应用场景中。CORS (Cross-Origin Resource Sharing) 是一种浏览器内置的安全策略,用于限制来自不同源的网络请求,确保数据的安全性和...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北辰alk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值