Spring Boot全局跨域解决方案详解

原创 已于 2025-06-13 15:45:29 修改 · 542 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2025-06-13 15:45:17 首次发布

什么是跨域问题

跨域问题(Cross-Origin Resource Sharing, CORS)是浏览器基于同源策略(Same-Origin Policy)实施的一种安全机制,它限制了从不同源(协议、域名、端口任一不同)加载的资源如何交互。在现代Web开发中,前后端分离架构非常普遍,跨域问题成为开发者必须面对的挑战。

Spring Boot中的跨域解决方案

Spring Boot提供了多种方式来解决跨域问题,下面我将详细介绍几种常用的全局跨域配置方案。

1. 使用@CrossOrigin注解

最简单的方式是在Controller类或方法上添加@CrossOrigin注解:

@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "*")
public class MyController {
    // 类级别的跨域配置会应用到所有方法
    
    @GetMapping("/hello")
    @CrossOrigin(origins = "http://localhost:8080") // 方法级别可以覆盖类级别配置
    public String hello() {
        return "Hello, World!";
    }
}

优点:简单直接,适合细粒度控制
缺点:需要在每个Controller或方法上添加注解,不适合全局配置

2. 实现WebMvcConfigurer接口

更推荐的方式是实现WebMvcConfigurer接口并重写addCorsMappings方法:

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")  // 匹配所有路径
                .allowedOrigins("*") // 允许所有源
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允许方法
                .allowedHeaders("*") // 允许所有头
                .allowCredentials(true) // 允许凭证
                .maxAge(3600); // 预检请求缓存时间
    }
}

优点

  • 全局配置,一次编写,多处生效
  • 配置灵活,可以针对不同路径设置不同规则
  • 支持各种CORS相关参数设置

缺点

  • 需要理解CORS相关概念才能正确配置

3. 使用CorsFilter过滤器

对于更复杂的需求,可以创建自定义的CORS过滤器:

@Configuration
public class GlobalCorsConfig {
    
    @Bean
    public CorsFilter corsFilter() {
        // 1. 创建CORS配置对象
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true); // 允许cookies跨域
        config.addAllowedOriginPattern("*"); // 允许所有域
        config.addAllowedHeader("*"); // 允许所有头
        config.addAllowedMethod("*"); // 允许所有方法
        
        // 2. 为URL添加映射路径
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        
        // 3. 返回新的CorsFilter
        return new CorsFilter(source);
    }
}

适用场景

  • 需要与Spring Security集成时
  • 需要更细粒度的控制时
  • 项目中使用过滤器链时

4. Spring Security中的CORS配置

如果项目使用了Spring Security,需要在Security配置中显式启用CORS支持:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors() // 启用CORS
            .and()
            // 其他安全配置...
            .csrf().disable();
    }
    
    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("*"));
        configuration.setAllowedHeaders(Arrays.asList("*"));
        configuration.setAllowCredentials(true);
        
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

注意事项

  • 使用Spring Security时,必须显式配置CORS
  • 需要同时配置cors()和提供CorsConfigurationSource bean

配置参数详解

在配置CORS时,有几个关键参数需要理解:

  1. allowedOrigins:允许访问的源列表,*表示允许所有源
  2. allowedMethods:允许的HTTP方法(GET, POST等)
  3. allowedHeaders:允许的请求头
  4. allowCredentials:是否允许发送cookie等凭证
  5. maxAge:预检请求的缓存时间(秒)
  6. exposedHeaders:允许暴露给客户端的响应头

常见问题与解决方案

1. 预检请求(Preflight Request)问题

对于非简单请求(如Content-Type为application/json的POST请求),浏览器会先发送OPTIONS请求进行预检。

解决方案

  • 确保服务器正确处理OPTIONS方法
  • 配置中包含OPTIONS方法:.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")

2. 带凭证的请求问题

当请求需要携带cookie或认证信息时:

解决方案

  • 设置allowCredentials(true)
  • 不能使用allowedOrigins("*"),必须指定具体域名
  • 使用allowedOriginPatterns代替allowedOrigins(Spring Boot 2.4.0+)

3. 响应头被过滤问题

某些自定义响应头可能被浏览器拦截。

解决方案

  • 配置exposedHeaders暴露需要的头信息

最佳实践建议

  1. 生产环境不要使用*:在生产环境中,应该明确指定允许的源,而不是使用通配符
  2. 合理设置缓存时间:对于频繁的跨域请求,适当增加maxAge可以减少预检请求
  3. 与Spring Security集成注意顺序:确保CORS配置在Spring Security的认证过滤器之前
  4. 考虑使用网关统一处理:在微服务架构中,可以考虑在API网关层统一处理CORS,而不是在每个服务中配置

总结

Spring Boot提供了多种灵活的方式来处理跨域问题,开发者可以根据项目需求选择最适合的方案。对于大多数应用,实现WebMvcConfigurer接口的方式提供了良好的平衡点,既保持了配置的简洁性,又能满足全局跨域需求。在更复杂的场景下,特别是与Spring Security集成时,使用CorsFilter或显式配置CorsConfigurationSource可能是更好的选择。

正确配置CORS不仅能解决开发中的跨域问题,还能为应用提供适当的安全保障,是开发现代Web应用不可或缺的一部分。

《滚雪球学Spring Boot》教程导航帖(更新于2025.05.20)
**My Coding Family**
06-29 4万+
《滚雪球学Spring Boot》是由CSDN博主bug菌创作的全面Spring Boot教程。作者是全栈开发专家,在多个技术社区如CSDN、掘金、InfoQ、51CTO等担任博客专家,并拥有超过30万的全网粉丝。该教程分为入门篇和进阶篇,每篇包含详细的教学步骤,涵盖Spring Boot的基础和高级主题。
Springboot 开发 -- 问题技术详解
dazhong2012的专栏
06-01 905
访问问题指的是在客户端浏览器中,由于安全策略的限制,不允许从一个源(名、协议、端口)直接访问另一个源的资源。当浏览器发起一个请求时,会被浏览器拦截,并阻止数据的传输。这种限制是为了保护用户的隐私和安全,防止恶意网站利用用户的浏览器向其他网站发送请求并获取敏感信息。
浅谈spring-boot 允许接口并实现拦截(CORS)
08-29
本篇文章主要介绍了浅谈spring-boot 允许接口并实现拦截(CORS),具有一定的参考价值,有兴趣的可以了解一下
SpringBoot允许访问
vip2193的博客
08-24 557
该文章转至SpringBoot官网 http://spring.io/blog/2015/06/08/cors-support-in-spring-framework 现在开发的项目一般都是前后端分离的项目,所以访问会经常使用。 出于安全原因,浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如,当您在一个标签中检查您的银行帐户时,您可以将evil.com网站放在另一个标签中。来自e...
Spring Boot 解决Cores问题
岚殿的代码笔记
08-09 1398
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implemen.
SpringBoot: 全局配置
amadeus_liu2的博客
05-09 2871
一、可以在配置类中通过配置一个@Bean,直接实现全局,不需要在每个controller上加@CrossOrigin注解了。 package cn.edu.tju.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.ann
SpringBoot项目 设置全局
梓鸿
02-28 653
SpringBoot项目 设置全局 package com.nf147.policy_project; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRe...
详解Spring Boot 3中的解决方案
修己xj的博客
05-20 1346
问题是Web开发中一个常见的问题,但是通过Spring Boot 3提供的CorsFilter过滤器,我们可以很容易地解决这个问题。希望本文能够对大家有所帮助!
Spring Boot CORS详解问题与实战示例
2. JSONP的局限性:早期的解决方案之一是JSONP(JSON with Padding),它利用script标签的src属性可以的特性,但只能支持GET请求,且存在安全隐患。JSONP对于POST等其他请求类型的支持不足,无法满足现代Web...
SpringBoot解决问题
最新发布
pan_junbiao的博客
09-29 1388
Spring Boot 项目中解决问题,主要可以通过以下几种方式来实现。使用 @CrossOrigin 注解,是 Spring 4.2 后引入的。这是解决问题最直接和简单的方法,@CrossOrigin 注解可以添加到类或者方法上,以允许请求。通过实现 WebMvcConfigurer 接口,并重写 addCorsMappings 方法来实现解决问题,这种方式提供了更灵活的配置选项,实现全局配置。
springboot设置访问
03-29
前端访问springboot后端时添加响应头。。。。。。
SpringBoot允许
douyunqian668的博客
03-25 152
@Configuration public class CrossConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**"); } }
Springboot 允许
xcc_2269861428的博客
10-17 206
在搭建前后台分离项目时,前台使用端口8080、后台使用8081,发现请求后台报错误 需要让后台允许请求,我使用的是Springboot,只需要添加一个@Configuration就可以了 package com.ad_360.business.ad_360_business.cors; import org.springframework.context.annotation....
SpringBoot 允许
HumorChen的博客
06-12 442
解决办法 @SpringBootApplication @MapperScan("com.humorchen.pastry_examination.mapper") public class PastryExaminationApplication implements WebMvcConfigurer { public static void main(String[] args) { SpringApplication.run(PastryExaminationApplicat
springboot允许配置
yiguang_820的博客
07-29 4387
CORS全称为CrossOriginResourceSharing(资源共享),服务端只需添加相关响应头信息,即可实现客户端发出AJAX请求。springboot2.0以下的方式。springboot2.0以上的方式。
SpringBoot解决全局
m0_75137365的博客
05-09 306
【代码】SpringBoot解决全局
spring boot允许请求
灵波微布
08-25 456
Ajax发送请求时,浏览器出现这个错误,这是一个请求的问题 from origin 'null' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource
Spring
keitho00的专栏
01-08 4536
一个资源会发起一个HTTP请求(Cross-site HTTP request), 当它请求的一个资源是从一个与它本身提供的第一个资源的不同的名时 。比如说,名A(http://domaina.example)的某 Web 应用程序中通过标签引入了名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),名A的那 Web
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值