解决 Angular 与 Spring Boot 跨域请求被阻止的问题

霞舞

发布时间：2026-02-12 08:58:30

580人浏览过

来源于php中文网

原创

解决 Angular 与 Spring Boot 跨域请求被阻止的问题

本文详解如何在 spring boot 中正确配置 cors，解决 angular 前端（http://localhost:4200）调用后端接口（http://localhost:8090）时因预检失败导致的 “request header field domain is not allowed by access-control-allow-headers” 错误。

在前后端分离开发中，Angular 运行于 http://localhost:4200，而 Spring Boot 后端部署在 http://localhost:8090，浏览器会因同源策略触发跨域检查（CORS）。你遇到的错误：

Access to XMLHttpRequest at 'http://localhost:8090/bites/service/signup' 
from origin 'http://localhost:4200' has been blocked by CORS policy: 
Request header field domain is not allowed by Access-Control-Allow-Headers in preflight response.

关键线索在于 Request header field domain —— 这说明你的 Angular 请求中包含了自定义请求头（例如 domain），但 Spring Boot 的 CORS 配置未将其列入 Access-Control-Allow-Headers 白名单，导致预检（OPTIONS）响应被拒绝。

⚠️ 注意：你当前手动在 Filter 中设置响应头的方式存在严重隐患：

未处理 OPTIONS 预检请求的短路逻辑（即对 OPTIONS 请求应直接返回，不执行 chain.doFilter()）；
Access-Control-Allow-Headers 值未包含 domain，且硬编码的 Header 列表冗长、易遗漏；
WebMvcConfigurerAdapter 在 Spring Boot 2.4+ 已被弃用，新版本需使用函数式配置。

✅ 推荐方案：采用 Spring Boot 官方推荐的 WebMvcConfigurer Bean 方式统一管理 CORS，简洁、安全、可维护。

问问小宇宙

问问小宇宙是小宇宙团队出品的播客AI检索工具

下载

✅ 正确配置方式（Spring Boot 2.4+）

@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/bites/**")  // 精准匹配 API 路径（推荐）
                    .allowedOrigins("http://localhost:4200")
                    .allowCredentials(true)
                    .allowedHeaders("Origin", "X-Requested-With", "Content-Type", 
                                   "Accept", "Key", "Authorization", "domain") // ✅ 显式添加 'domain'
                    .maxAge(3600);
            }
        };
    }
}

? 小提示：/bites/** 比 /** 更安全，避免对静态资源或管理端点误开 CORS；如需全局开放，可保留 /**，但请确保生产环境严格限制 allowedOrigins（禁用 "*" 配合 allowCredentials(true)）。

✅ 补充：若需支持更多自定义 Header（如 X-Trace-ID）

只需在 allowedHeaders(...) 中追加即可：

.allowedHeaders("Origin", "X-Requested-With", "Content-Type", 
                "Accept", "Key", "Authorization", "domain", "X-Trace-ID")

⚠️ 重要注意事项

allowCredentials(true) 必须配 allowedOrigins 具体域名：不可使用 "*"，否则浏览器将拒绝该配置；

Angular 请求需显式启用凭据：确保 HTTP 调用中设置了 withCredentials: true：

// Angular service 示例
this.http.post('/bites/service/signup', data, { withCredentials: true })

移除旧 Filter 中的手动 CORS 设置：避免与 WebMvcConfigurer 冲突，造成响应头重复或覆盖；
检查是否启用了 Spring Security：若已引入 spring-boot-starter-security，需额外配置 Security 层允许 CORS（见下文）。

? Spring Security 用户额外配置（如适用）

若项目集成 Spring Security，请在安全配置类中启用 CORS 并委托给 MVC 配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .cors(cors -> cors.configurationSource(request -> {
                CorsConfiguration config = new CorsConfiguration();
                config.setAllowedOrigins(Arrays.asList("http://localhost:4200"));
                config.setAllowCredentials(true);
                config.setAllowedHeaders(Arrays.asList(
                    "Origin", "X-Requested-With", "Content-Type",
                    "Accept", "Key", "Authorization", "domain"
                ));
                config.setMaxAge(3600L);
                return config;
            }))
            .csrf(csrf -> csrf.disable()) // 开发阶段可禁用，生产务必启用并配置
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/bites/**").permitAll()
                .anyRequest().authenticated()
            );
        return http.build();
    }
}

✅ 总结

问题根源	解决动作
自定义请求头 domain 未被允许	在 allowedHeaders 中显式添加 "domain"
手动 Filter 配置不完整/有缺陷	改用 WebMvcConfigurer.addCorsMappings() 标准方式
凭据与通配符冲突	allowCredentials(true) + allowedOrigins("http://localhost:4200") 组合使用
生产环境风险	禁用 allowedOrigins("*")，按环境配置白名单

完成配置后重启 Spring Boot 应用，Angular 发起的带 domain 头的 POST 请求将顺利通过预检，成功完成注册流程。

Java 8 Lambda 表达式中 return 关键字的正确使用规则

Android 多用户环境下实现应用级全局变量持久化

Java中的分代收集理论说明_为何将内存划分为不同生命周期的区域

在Java里BufferedWriter适合哪些写入场景_Java字符输出优化说明

Java 8日期时间API全攻略_LocalDate, LocalTime与LocalDateTime详解

相关专题

spring框架介绍

本专题整合了spring框架相关内容，想了解更多详细内容，请阅读专题下面的文章。

120

2025.08.06

Java Spring Security 与认证授权

本专题系统讲解 Java Spring Security 框架在认证与授权中的应用，涵盖用户身份验证、权限控制、JWT与OAuth2实现、跨站请求伪造（CSRF）防护、会话管理与安全漏洞防范。通过实际项目案例，帮助学习者掌握如何使用 Spring Security 实现高安全性认证与授权机制，提升 Web 应用的安全性与用户数据保护。

2026.01.26

spring boot框架优点

spring boot框架的优点有简化配置、快速开发、内嵌服务器、微服务支持、自动化测试和生态系统支持。本专题为大家提供spring boot相关的文章、下载、课程内容，供大家免费下载体验。

137

2023.09.05

spring框架有哪些

spring框架有Spring Core、Spring MVC、Spring Data、Spring Security、Spring AOP和Spring Boot。详细介绍：1、Spring Core，通过将对象的创建和依赖关系的管理交给容器来实现，从而降低了组件之间的耦合度；2、Spring MVC，提供基于模型-视图-控制器的架构，用于开发灵活和可扩展的Web应用程序等。

402

2023.10.12

Java Spring Boot开发

本专题围绕 Java 主流开发框架 Spring Boot 展开，系统讲解依赖注入、配置管理、数据访问、RESTful API、微服务架构与安全认证等核心知识，并通过电商平台、博客系统与企业管理系统等项目实战，帮助学员掌握使用 Spring Boot 快速开发高效、稳定的企业级应用。

2025.08.19

Java Spring Boot 4更新教程_Java Spring Boot 4有哪些新特性

Spring Boot 是一个基于 Spring 框架的 Java 开发框架，它通过约定优于配置的原则，大幅简化了 Spring 应用的初始搭建、配置和开发过程，让开发者可以快速构建独立的、生产级别的 Spring 应用，无需繁琐的样板配置，通常集成嵌入式服务器（如 Tomcat），提供“开箱即用”的体验，是构建微服务和 Web 应用的流行工具。

2025.12.22

Java Spring Boot 微服务实战

本专题深入讲解 Java Spring Boot 在微服务架构中的应用，内容涵盖服务注册与发现、REST API开发、配置中心、负载均衡、熔断与限流、日志与监控。通过实际项目案例（如电商订单系统），帮助开发者掌握从单体应用迁移到高可用微服务系统的完整流程与实战能力。

216

2025.12.24

Spring Boot企业级开发与MyBatis Plus实战

本专题面向 Java 后端开发者，系统讲解如何基于 Spring Boot 与 MyBatis Plus 构建高效、规范的企业级应用。内容涵盖项目架构设计、数据访问层封装、通用 CRUD 实现、分页与条件查询、代码生成器以及常见性能优化方案。通过完整实战案例，帮助开发者提升后端开发效率，减少重复代码，快速交付稳定可维护的业务系统。

2026.02.11