快捷導(dǎo)航

淺析SpringBoot如何解決CORS問題

更新時(shí)間：2025年05月09日 09:41:14 作者：來(lái)自星星的坤

在前后端分離的開發(fā)模式中,經(jīng)常會(huì)遇到跨域資源共享（CORS）的問題,本文將全面介紹 Spring Boot 中處理 CORS 的常見方法,大家可以根據(jù)需要進(jìn)行選擇

在前后端分離的開發(fā)模式中，前端調(diào)用后端接口時(shí)，經(jīng)常會(huì)遇到跨域資源共享（CORS）的問題。Spring Boot 作為常用的后端框架，提供了多種方式來(lái)優(yōu)雅地解決這個(gè)問題。本文將全面介紹 Spring Boot 中處理 CORS 的常見方法、原理分析及注意事項(xiàng)，幫助開發(fā)者高效排查和解決跨域問題。

一、什么是 CORS

CORS（Cross-Origin Resource Sharing，跨域資源共享）是瀏覽器的一種安全策略，用于防止頁(yè)面被惡意地從一個(gè)域加載資源到另一個(gè)域。簡(jiǎn)單來(lái)說(shuō)，只要前端請(qǐng)求的協(xié)議、域名、端口與后端接口不完全一致，就屬于跨域請(qǐng)求。

例如：

前端地址：http://localhost:3000
后端接口：http://localhost:8080/api/data

這就構(gòu)成了跨域請(qǐng)求，瀏覽器會(huì)默認(rèn)攔截這類請(qǐng)求，除非服務(wù)器端明確允許跨域訪問。

二、Spring Boot 中解決 CORS 的幾種方法

Spring Boot 提供了多種方式來(lái)配置和處理跨域問題，以下是最常用的三種方法：

方法一：使用 @CrossOrigin 注解（推薦用于小型項(xiàng)目或測(cè)試）

這是 Spring Boot 提供的快捷方式，可直接作用于控制器類或方法上：

@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "http://localhost:3000")
public class MyController {
 
    @GetMapping("/data")
    public String getData() {
        return "Hello, CORS!";
    }
}

參數(shù)說(shuō)明：

origins：允許的域名（可為 * 表示所有）。

methods：允許的方法，如 GET, POST 等。

maxAge：預(yù)檢請(qǐng)求的有效時(shí)間（單位秒）。

allowedHeaders：允許攜帶的頭信息。

缺點(diǎn)：對(duì)于中大型項(xiàng)目來(lái)說(shuō)，控制器眾多，維護(hù)成本高。

方法二：全局 CORS 配置（推薦用于中大型項(xiàng)目）

通過(guò)實(shí)現(xiàn) WebMvcConfigurer 接口，全局統(tǒng)一配置跨域規(guī)則，適用于大多數(shù)項(xiàng)目場(chǎng)景。

@Configuration
public class CorsConfig implements WebMvcConfigurer {
 
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 所有接口
                .allowedOrigins("http://localhost:3000") // 允許的前端地址
                .allowedMethods("GET", "POST", "PUT", "DELETE") // 允許的方法
                .allowedHeaders("*") // 允許的請(qǐng)求頭
                .allowCredentials(true) // 允許攜帶 Cookie
                .maxAge(3600); // 預(yù)檢請(qǐng)求緩存時(shí)間（秒）
    }
}

優(yōu)點(diǎn)：配置集中，維護(hù)簡(jiǎn)單，推薦使用。

方法三：通過(guò) Filter 手動(dòng)設(shè)置響應(yīng)頭（不推薦，除非特殊需求）

手動(dòng)注冊(cè)一個(gè)過(guò)濾器，向響應(yīng)中添加 CORS 相關(guān)頭信息：

@Component
public class CorsFilter implements Filter {
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        
        HttpServletResponse res = (HttpServletResponse) response;
        HttpServletRequest req = (HttpServletRequest) request;
 
        res.setHeader("Access-Control-Allow-Origin", "http://localhost:3000");
        res.setHeader("Access-Control-Allow-Methods", "GET,POST,PUT,DELETE,OPTIONS");
        res.setHeader("Access-Control-Allow-Headers", "*");
        res.setHeader("Access-Control-Allow-Credentials", "true");
 
        // OPTIONS 預(yù)檢請(qǐng)求直接返回
        if ("OPTIONS".equalsIgnoreCase(req.getMethod())) {
            res.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(request, response);
        }
    }
}

缺點(diǎn)：易出錯(cuò)，不易維護(hù)，建議使用 WebMvcConfigurer 方式代替。

三、常見問題排查

OPTIONS 請(qǐng)求返回 403 或沒有響應(yīng)？

確保后端允許 OPTIONS 方法。

確保沒有被 Spring Security 攔截。

攜帶 Cookie 不生效？

后端必須設(shè)置：.allowCredentials(true)

前端必須設(shè)置：axios.defaults.withCredentials = true

Spring Security 攔截 CORS 請(qǐng)求？

需要額外配置 CORS 策略，示例如下：

@EnableWebSecurity
public class SecurityConfig {
 
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .cors() // 啟用 CORS
            .and()
            .csrf().disable()
            .authorizeHttpRequests()
            .anyRequest().permitAll();
 
        return http.build();
    }
 
    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowedOrigins(List.of("http://localhost:3000"));
        config.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "OPTIONS"));
        config.setAllowedHeaders(List.of("*"));
        config.setAllowCredentials(true);
 
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return source;
    }
}

四、總結(jié)

方法	場(chǎng)景	推薦度
@CrossOrigin 注解	控制器少，接口固定	??
實(shí)現(xiàn) WebMvcConfigurer	中大型項(xiàng)目，統(tǒng)一配置	?????
自定義 Filter	特殊需求（如動(dòng)態(tài)域）	?

CORS 配置看似簡(jiǎn)單，但與前端請(qǐng)求設(shè)置、Spring Security 配合使用時(shí)需格外注意。建議在項(xiàng)目初始化階段就進(jìn)行統(tǒng)一的跨域策略設(shè)計(jì)，避免后續(xù)頻繁調(diào)整。

到此這篇關(guān)于淺析SpringBoot如何解決CORS問題的文章就介紹到這了,更多相關(guān)SpringBoot解決CORS內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: