在现代 Web 应用开发中,前端和后端通常是分离部署的。当前端运行在一个域名(或端口)下,而后端 API 运行在另一个域名(或端口)下时,就会遇到一个臭名昭著的安全限制——同源策略(Same-Origin Policy)。
同源策略是浏览器的一项安全功能,它限制从一个源加载的文档或脚本与另一个源的资源进行交互。这里的“源”由协议(protocol)、**域名(domain)和端口(port)**三个要素共同决定。只要其中一个不同,就被认为是跨域。
当前端发起跨域请求时,浏览器会拦截并阻止请求,除非服务器明确允许该跨域请求。而允许跨域请求的机制就是 CORS (Cross-Origin Resource Sharing),跨源资源共享。
本文将深入探讨 Spring Boot 中解决 CORS 问题的各种方法,从简单的全局配置到精细的局部控制,再到复杂场景下的解决方案,为你提供一份全面的 CORS 解决攻略,让你告别跨域烦恼!
1. CORS 原理简述
CORS 的核心是通过 HTTP 响应头来告诉浏览器,哪些源(Origin)可以访问当前资源。
当浏览器检测到跨域请求时,它会分为两种类型:
- 简单请求 (Simple Requests): 满足特定条件的请求(如使用 GET/HEAD/POST 方法,且 Content-Type 限制为
application/x-www-form-urlencoded、multipart/form-data或text/plain等)。浏览器会直接发送请求,并在收到响应后检查Access-Control-Allow-Origin响应头。 - 预检请求 (Preflight Requests): 对于非简单请求(如使用 PUT/DELETE 方法,或自定义请求头,或 Content-Type 为
application/json等),浏览器会先发送一个 OPTIONS 请求到服务器,询问服务器是否允许实际的跨域请求。这个 OPTIONS 请求被称为“预检请求”。服务器收到预检请求后,会返回一系列Access-Control-Allow-*响应头,告诉浏览器是否允许。如果预检成功,浏览器才会发送实际的请求。
因此,解决 CORS 问题,就是让 Spring Boot 服务器在响应中正确地添加这些 Access-Control-Allow-* 头。
2. Spring Boot 中解决 CORS 的方法
Spring Boot 提供了多种灵活的方式来配置 CORS,你可以根据项目需求选择最适合的方法。
2.1 方法一:使用 @CrossOrigin 注解 (局部控制)
@CrossOrigin 注解是 Spring Framework 4.2 引入的,它允许你在控制器类或方法级别直接配置 CORS 规则。这是最简单、最细粒度的控制方式。
- 作用范围: 可以应用于类级别(对所有方法生效)或方法级别(仅对该方法生效)。方法级别的注解会覆盖类级别的注解。
示例:
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/api/users")
// 类级别:允许来自 http://localhost:8080 的所有请求访问此控制器下的所有方法
@CrossOrigin(origins = "http://localhost:8080")
public class UserController {
@GetMapping("/{id}")
public String getUserById(@PathVariable Long id) {
return "User: " + id;
}
// 方法级别:允许来自 http://localhost:9000 的 POST 请求访问此方法,覆盖了类级别的配置
@PostMapping
@CrossOrigin(origins = "http://localhost:9000", methods = RequestMethod.POST)
public String createUser(@RequestBody String user) {
最低0.47元/天 解锁文章
扫一扫
1370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
