Spring框架中的跨域CORS配置的完整教学
更新时间:2025年10月31日 09:08:49 作者:匆匆忙忙游刃有余
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,允许在浏览器中向不同源(域名、协议或端口不同)的服务器发起请求,下面我们就来看看如何在Spring框架配置跨域CORS吧
什么是跨域CORS
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,允许在浏览器中向不同源(域名、协议或端口不同)的服务器发起请求。在Web开发中,出于安全考虑,浏览器会实施同源策略(Same-Origin Policy),限制从一个源加载的文档或脚本与另一个源的资源进行交互。CORS机制提供了一种安全的方式来实现跨域访问。
Spring中的CORS配置方法
1. 全局CORS配置
使用WebMvcConfigurer配置
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**") // 允许所有路径
.allowedOrigins("*") // 允许所有来源,生产环境应限制具体域名
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允许的HTTP方法
.allowedHeaders("*") // 允许所有请求头
.exposedHeaders("Authorization") // 暴露的响应头
.allowCredentials(true) // 允许携带凭证(cookie)
.maxAge(3600); // 预检请求结果缓存时间(秒)
}
}
Spring Boot 2.7+ 方式
从Spring Boot 2.7开始,推荐使用CorsFilter而不是WebMvcConfigurer:
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
// 设置允许的源
config.addAllowedOrigin("*");
// 设置允许的HTTP方法
config.addAllowedMethod("*");
// 设置允许的请求头
config.addAllowedHeader("*");
// 设置允许携带凭证
config.setAllowCredentials(true);
// 设置暴露的响应头
config.addExposedHeader("Authorization");
// 设置预检请求结果缓存时间
config.setMaxAge(3600L);
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
}
}
2. 控制器级别CORS配置
使用@CrossOrigin注解可以在控制器类或方法级别配置CORS:
// 控制器类级别配置
@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "*", maxAge = 3600)
public class ApiController {
@GetMapping("/data")
public ResponseEntity<String> getData() {
return ResponseEntity.ok("Data response");
}
}
// 方法级别配置
@RestController
@RequestMapping("/api")
public class ApiController {
@GetMapping("/data")
@CrossOrigin(origins = "http://localhost:3000",
allowedHeaders = "*",
methods = {RequestMethod.GET, RequestMethod.POST})
public ResponseEntity<String> getData() {
return ResponseEntity.ok("Data response");
}
}
3. 基于过滤器的CORS配置
@Component
public class CorsFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
// 设置CORS响应头
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "*");
response.setHeader("Access-Control-Expose-Headers", "Authorization");
response.setHeader("Access-Control-Allow-Credentials", "true");
// 处理预检请求
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
return;
}
filterChain.doFilter(request, response);
}
}
Spring Security环境下的CORS配置
当使用Spring Security时,CORS配置需要与Security配置集成:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// 添加CORS配置
.cors().and()
// 禁用CSRF(如果需要)
.csrf().disable()
// 其他安全配置...
.authorizeRequests()
.antMatchers("/public/**").permitAll()
.anyRequest().authenticated();
}
// 注入CORS配置Bean
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("*"));
configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS"));
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setExposedHeaders(Arrays.asList("Authorization"));
configuration.setAllowCredentials(true);
configuration.setMaxAge(3600L);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
生产环境CORS最佳实践
限制允许的源:不要在生产环境使用"*"通配符,而应该指定具体的前端域名:
config.setAllowedOrigins(Arrays.asList("https://www.example.com", "https://app.example.com"));
谨慎使用credentials:如果设置了allowCredentials = true,allowedOrigins不能使用"*"通配符。
限制允许的HTTP方法:只允许应用程序需要的HTTP方法,而不是全部:
config.setAllowedMethods(Arrays.asList("GET", "POST"));
限制允许的请求头:只允许必要的请求头,提高安全性。
设置适当的maxAge:避免频繁的预检请求,减少服务器负担。
常见问题及解决方案
CORS策略阻止了请求
- 检查服务器是否正确设置了
Access-Control-Allow-Origin头 - 确保请求的方法和头在允许列表中
预检请求失败
- 确保服务器正确处理了
OPTIONS请求 - 检查是否配置了
maxAge参数
凭证模式的问题
- 当使用
withCredentials: true时,服务端必须指定明确的Access-Control-Allow-Origin值 - 不能使用通配符
*
通过以上配置方法,可以根据项目需求灵活地实现Spring应用中的CORS支持,确保前端应用能够安全地进行跨域资源访问。
到此这篇关于Spring框架中的跨域CORS配置的完整教学的文章就介绍到这了,更多相关Spring 跨域CORS配置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
maven下mybatis-plus和pagehelp冲突问题的解决方法
这篇文章主要介绍了maven下mybatis-plus和pagehelp冲突的解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-08-08
本文主要介绍了springboot实现简单的消息对话的示例代码,可以使用WebSocket技术,WebSocket是一种在客户端和服务器之间提供实时双向通信的协议,具有一定的参考价值,感兴趣的可以了解一下2023-09-09
这篇文章主要介绍了Java背包问题求解实例代码,其中涉及两种背包:01和完全背包。分别讲述了两种背包的思路和实现方法,具有一定参考价值,需要的朋友可以了解下。2017-10-10
这篇文章主要为大家详细介绍了使用JMF实现java视频播放器的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-06
Springboot实现高吞吐量异步处理详解(适用于高并发场景)
这篇文章主要介绍了Springboot实现高吞吐量异步处理详解(适用于高并发场景),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-11-11
这篇文章主要介绍了多方面解读Java中的volatile关键字,它的作用是强制对被修饰的变量的写操作立即刷新到主存中,并强制对该变量的读操作从主存中读取最新的值,而不是使用缓存中的值,需要的朋友可以参考下2023-05-05
这篇文章主要介绍了springboot日期转换器实现实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-12-12
这篇文章主要介绍了Gateway微服务网关,负载均衡,熔断和限流,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-07-07
Java 在 java.lang.reflect 包中有自己的代理支持,该类(Proxy.java)用于动态生成代理类,只需传入目标接口、目标接口的类加载器以及 InvocationHandler 便可为目标接口生成代理类及代理对象。我们称这个Java技术为:动态代理2020-10-10
这篇文章主要为大家介绍了gRPC实践之proto及Maven插件概念及使用详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-04-04
最新评论