快捷導(dǎo)航

Java后端配置允許跨域方式

更新時(shí)間：2025年02月06日 09:33:28 作者：白天睡晚上卷

本文介紹了在不同技術(shù)和框架中配置跨域資源共享（CORS）的方法,包括使用SpringMVC的@CrossOrigin注解、SpringBoot的全局CORS配置、SpringSecurity中的CORS集成以及手動(dòng)設(shè)置響應(yīng)頭,根據(jù)具體需求和技術(shù)棧,選擇合適的方法來(lái)確?？缬蛘?qǐng)求的安全性和有效性

1. 使用 @CrossOrigin 注解 (Spring MVC)

如果你使用的是Spring MVC或Spring Boot，最簡(jiǎn)單的方法是直接在控制器類(lèi)或方法上使用@CrossOrigin注解來(lái)允許特定來(lái)源的跨域請(qǐng)求。

import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@CrossOrigin(origins = "http://example.com") // 允許來(lái)自example.com的跨域請(qǐng)求
public class MyController {

    @GetMapping("/api/data")
    public String getData() {
        return "Data from server";
    }
}

你可以指定多個(gè)來(lái)源，或者使用*來(lái)允許所有來(lái)源（但不推薦用于生產(chǎn)環(huán)境）：

@CrossOrigin(origins = "*") // 允許所有來(lái)源

2. 配置全局 CORS 支持 (Spring Boot)

為了在整個(gè)應(yīng)用程序中統(tǒng)一配置CORS規(guī)則，而不是逐個(gè)控制器或方法進(jìn)行配置，可以通過(guò)實(shí)現(xiàn)WebMvcConfigurer接口并在其中定義全局的CORS配置。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**") // 應(yīng)用于所有路徑
                    .allowedOrigins("http://example.com") // 允許的來(lái)源
                    .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允許的方法
                    .allowCredentials(true) // 是否允許發(fā)送憑證信息（如Cookies）
                    .maxAge(3600); // 預(yù)檢請(qǐng)求的有效期（秒）
            }
        };
    }
}

3. 使用 Spring Security 配置 CORS (如果使用了 Spring Security)

如果你的應(yīng)用程序使用了Spring Security，你還需要確保在安全配置中也啟用了CORS支持。

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()
            .csrf().disable(); // 根據(jù)需要啟用或禁用CSRF保護(hù)
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://example.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

4. 手動(dòng)設(shè)置響應(yīng)頭 (Servlet API)

對(duì)于不使用Spring框架的項(xiàng)目，可以在Servlet中手動(dòng)設(shè)置響應(yīng)頭來(lái)允許跨域請(qǐng)求。

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class MyServlet extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        
        // 設(shè)置CORS響應(yīng)頭
        response.setHeader("Access-Control-Allow-Origin", "http://example.com");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");

        // 處理預(yù)檢請(qǐng)求
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            // 正常處理請(qǐng)求
            response.getWriter().print("Data from server");
        }
    }
}