标准做法是配置CORS策略以解决跨域问题。1. 使用Filter设置响应头处理预检请求;2. Spring Boot中可用@CrossOrigin注解局部启用跨域;3. 推荐通过WebMvcConfigurer实现全局CORS配置,指定路径、允许的源、方法、头部及凭证;4. 若集成Spring Security,需在安全配置中启用cors并定义CorsConfigurationSource,确保CORS规则生效。生产环境建议采用全局配置与Security集成方式。
Java 解决跨域(CORS)问题的标准做法是通过配置 CORS 策略,允许浏览器从不同源(协议、域名、端口)向后端服务发起请求。最常见的场景是在前后端分离架构中,前端运行在本地开发服务器(如 http://localhost:3000),而后端 API 运行在另一个端口或域名上(如 http://localhost:8080)。
1. 使用过滤器(Filter)配置 CORS
在基于 Servlet 的 Java Web 应用中(如 Spring 或原生 JavaEE),可以通过实现 javax.servlet.Filter 来统一处理跨域请求。
示例代码:
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin", "http://localhost:3000"); // 允许的前端域名
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers",
"Origin, X-Requested-With, Content-Type, Accept, Authorization");
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
} else {
chain.doFilter(req, res);
}
}
}
这个过滤器会拦截所有请求,设置必要的响应头,并对预检请求(OPTIONS)直接返回成功状态。
立即学习“Java免费学习笔记(深入)”;
2. Spring Boot 中使用 @CrossOrigin 注解
如果你使用的是 Spring Boot,可以在 Controller 或具体方法上使用 @CrossOrigin 注解快速启用跨域支持。
示例:
@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "http://localhost:3000")
public class UserController {
@GetMapping("/users")
public List getUsers() {
return userService.getAll();
}
}
这种方式适合局部控制,但不适合全局统一管理。
3. 配置全局 CORS 策略(推荐方式)
在 Spring Boot 中,最标准的做法是通过实现 WebMvcConfigurer 接口来配置全局 CORS 策略。
示例配置类:
@Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOriginPatterns("http://localhost:3000") // 支持多个前端地址
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
.allowedHeaders("*")
.allowCredentials(true)
.maxAge(3600);
}
}
说明:
- addMapping:指定哪些路径启用 CORS,例如 /api/** 表示所有 API 路径。
- allowedOriginPatterns:允许的源,可使用 patterns 匹配多个域(Spring 5.3+ 推荐使用 patterns 替代 origins)。
- allowCredentials(true):允许携带 Cookie 或认证信息,此时 origin 不能为 "*"。
- maxAge:预检请求缓存时间,减少重复 OPTIONS 请求。
4. 使用 Security 框架时的额外配置
如果项目集成了 Spring Security,需要确保安全配置不会覆盖 CORS 设置。
在 Security 配置中显式允许 CORS:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.cors().and() // 启用 cors 配置
.csrf().disable()
.authorizeRequests(...);
return http.build();
}
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOriginPatterns(Arrays.asList("http://localhost:3000"));
configuration.setAllowedMethods(Arrays.asList("*"));
configuration.setAllowCredentials(true);
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setMaxAge(3600L);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/api/**", configuration);
return source;
}
}
这样可以确保 Spring Security 正确应用你定义的 CORS 策略。
基本上就这些。选择哪种方式取决于你的技术栈和需求复杂度。对于生产项目,推荐使用全局配置 + Security 集成的方式,既安全又易于维护。
