springboot解决跨域请求的方案(CORS)

最新推荐文章于 2025-11-06 10:58:12 发布
原创 最新推荐文章于 2025-11-06 10:58:12 发布 · 323 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文介绍如何使用SpringBoot内置的Cors机制解决跨域问题,通过全局配置允许所有来源的请求访问服务器数据,支持多种HTTP方法。

SpringBoot解决跨域问题

SpringBoot可以基于Cors解决跨域问题,Cors是一种机制,告诉我们的后台,哪边(origin )来的请求可以访问服务器的数据。

全局配置:


@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedOrigins("*")
            .allowCredentials(true)
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            .maxAge(3600);
    }
}
SpringBoot笔记20】SpringBoot问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
11-01 2586
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息。
SpringBoot解决问题(CORS
weixin_45261485的博客
05-29 626
/** * 配置类 */ @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*")//*表示允许任何名使用 .
解决 springboot请求问题
05-11
springboot做前后端分离,ajax请求问题 前后端分离:即将后端服务层与前端展示层分别开发和部署,因而产生两个需要打包发布的项目, 将两个分别部署后,前端再去请求后端就会产生请求的问题。 两种解决方案
SpringBoot设置(CORS
m0_67391121的博客
08-02 763
请求url的协议、名、端口三者有任意一个不同即为问题是因为浏览器的同源策略的限制而产生的。同源请求url的协议、名、端口三者都相同即为同源(同一个)。同源策略同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全功能。同源策略会阻止非同源(同一个)的内容进行交互。无法读取非同源网页的Cookie、LocalStorage和IndexedDB无法接触非同源网页的DOM无法向非同源地址发送AJAX请求浏览器限制发起请求;预检请求。...
Spring Boot项目中解决问题(四种方式)
最新发布
2509_93882533的博客
11-06 369
当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在发送我们输入的用户名,密码等数据之前,还发送了一次OPTIONS的请求,这是浏览器自动发送的,为了验证是否允许访问。*,这个在开发测试的时候可以这么设置,但如果是生产环境,建议不要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
Springboot拦截器中失效的问题、同一个接口传入参数不同,一个成功,一个有问题、拦截器和@CrossOrigin和@Controller
不知道你是通过何种途径访问到这里,总之欢迎来到red velet的博客
02-08 2752
Springboot拦截器中失效的问题、同一个接口传入参数不同,一个成功,一个有问题、拦截器和@CrossOrigin和@Controller、- 同一个接口,传入不同参数进行值的修改时,一个成功,另一个竟然失败,而且是**问题** - 拦截器内的request参数调用getHeader方法时,获取不到前端设置的请求头,且浏览器显示有,但是后端输出后只有对于的key,而且key变成了`access-control-request-headers`的value - 拦截器失效、问题
SpringBoot配置
weixin_45977186的博客
03-19 1万+
什么是 简单而言,请求就是当一台服务器资源从另一台服务器(不同 的名或者端口)请求一个资源或者接口,就会发起一个 HTTP 请求。举个简单的例子,从http://www.baidu.com,发送一个 Ajax 请求请求地址是 http://www.taobao.com下面的一个接口,这就是发起了一个请求,在不做任何处理的情况下,显然当前请求是无法被成功请求,因为浏览器基于同源策略会对请求做一定的限制。 产生问题的条件 例如: http://192.168.38.438:808
Springboot解决问题
Yang19950816的博客
05-06 3197
前言 问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、名和端口)的资源,当 JavaScript 发起的请求越了同源策略,即请求的目标与当前页面的名、端口、协议不一致时,浏览器会阻止请求的发送或接收。 同源策略/SOP(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览
Springboot处理CORS请求的三种方法
08-19
以下将详细介绍Spring Boot处理CORS请求的三种方法。 1. **使用`@CrossOrigin`注解** `@CrossOrigin`是Spring提供的一个注解,用于配置控制器或方法,允许特定的请求。当在控制器类或具体方法上添加此...
SpringBoot 解决问题的 5 种方案
热门推荐
m0_71777195的博客
09-13 3万+
问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部、通过配置文件实现全局、通过 CorsFilter 对象实现全局、通过 Response 对象实现局部,通过 ResponseBodyAdvice 实现全局
SpringBoot解决问题
pan_junbiao的博客
09-29 1507
在 Spring Boot 项目中解决问题,主要可以通过以下几种方式来实现。使用 @CrossOrigin 注解,是 Spring 4.2 后引入的。这是解决问题最直接和简单的方法,@CrossOrigin 注解可以添加到类或者方法上,以允许请求。通过实现 WebMvcConfigurer 接口,并重写 addCorsMappings 方法来实现解决问题,这种方式提供了更灵活的配置选项,实现全局的配置。
springboot cors
weixin_41415820的博客
09-05 461
1、使用@CrossOrigin注解实现 #如果想要对某一接口配置CORS,可以在方法上添加@CrossOrigin注解 : @CrossOrigin(origins = {"http://localhost:9000", "null"}) @RequestMapping(value = "/test", method = RequestMethod.GET) public Str...
问题
keep12moving的博客
09-11 544
:浏览器对于javascript的同源策略的限制 。 以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同...
SpringBootCORS
有道无德的博客
07-10 423
引自我的gitbook:CORS资源共享),这是由W3C提出的。浏览器有同源策略, 源[origin]就是协议、名和端口号,同时同源策略还对http方法有约束。部分代码引自 https://spring.io/blog/2015/06/08/cors-support-in-spring-framework​1.控制器CORS配置:你可以@RequestMapping所拦截的方法上添加@Cr...
Spring Boot 的 CORS
allway2的博客
02-01 2100
CORS资源共享)允许网页从其他向浏览器请求额外的资源,例如来自 CDN 的字体、CSS 或静态图像。CORS 有助于将来自多个的 Web 内容提供给通常具有同源安全策略的浏览器。 学习在方法级别和全局级别在Spring MVC应用程序中启用 Spring CORS 支持。 阅读更多:Java CORS 过滤器示例 目录 1.带有@CrossOrigin的方法级别CORS 2.全局CORS配置 1. Spring CORS – 使用@CrossOrigin 的方法级别 Spri.
SpringBootcors解决方案
孤星的博客
03-03 706
编写CorsConfig配置类 package com.psyduck.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBase
spring boot配置
拱卒的博客
03-22 243
package org.zerhusen.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; im...
springboot解决请求
08-03
<think>嗯,用户的问题很明确,是关于Spring Boot请求解决方案的。根据用户提供的引用资料,这个问题在Web开发中非常常见,尤其是前后端分离的架构下。用户可能正在开发一个需要前后端交互的应用,遇到了浏览器控制台报CORS错误的情况。 用户引用的资料非常全面,覆盖了从基础到高级的各种解决方案。不过用户似乎更关注如何快速有效地解决问题,而不是理论细节。考虑到用户是开发者,应该需要具体可操作的代码示例。 问题的本质是浏览器的安全策略限制,解决方案的核心是在响应头中添加Access-Control-Allow-*系列字段。Spring Boot提供了多种实现方式,我注意到引用[2][3][5]都提到了5种主要方法,其中全局配置和过滤器是最常用的。 用户可能没意识到的是,这些方案各有适用场景:简单的项目用@CrossOrigin注解就够了,但企业级项目可能需要结合Spring Security或者网关层配置。引用[4]提到的OPTIONS预检请求机制也很关键,这解释了为什么有时明明配置了却不起作用。 安全方面需要特别提醒用户:生产环境绝对不能使用allowedOrigins("*"),这点引用[5]强调得很对。另外如果用了Cookie认证,allowCredentials和allowedOrigins的配置有冲突,需要特别注意。 用户可能还关心性能问题,全局配置和过滤器在性能上差异不大,但网关层方案可以减轻应用服务器压力。引用[2]提到的Nginx方案其实很实用,不过用户问的是Spring Boot层面的解决方案,暂时可以不展开。 最后生成的扩展问题覆盖了进阶配置、安全限制、异常排除等实际开发中必然遇到的痛点,特别是第4个关于Spring Security集成的问题,很多开发者都会在这里踩坑。</think>在Spring Boot应用中解决请求CORS)问题,主要有以下5种常用方案,根据场景选择最合适的实现: --- ### 一、局部:`@CrossOrigin`注解(控制器/方法级) **适用场景**:仅需为特定接口启用 ```java @RestController @RequestMapping("/api") public class UserController { // 类级别配置(类中所有接口生效) @CrossOrigin(origins = "http://localhost:3000", allowedHeaders = "*", allowCredentials = "true") @GetMapping("/user") public User getUser() { return new User("John"); } // 方法级别配置(覆盖类配置) @CrossOrigin(origins = "http://another-domain.com") @PostMapping("/update") public void updateUser(@RequestBody User user) { // 业务逻辑 } } ``` --- ### 二、全局:`WebMvcConfigurer`(推荐⭐) **适用场景**:统一管理所有接口的规则 ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 所有接口 .allowedOrigins("http://localhost:3000", "https://your-app.com") .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); // 预检请求缓存时间(秒) } } ``` --- ### 三、过滤器方案:`CorsFilter`(灵活控制) **适用场景**:需精细控制过滤逻辑或与安全框架集成 ```java @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOriginPattern("*"); // 使用模式匹配替代通配符* config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } ``` --- ### 四、Spring Security集成方案 **适用场景**:项目中使用了Spring Security ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.cors(cors -> cors.configurationSource(request -> { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(List.of("http://localhost:3000")); config.setAllowedMethods(List.of("*")); return config; })).csrf().disable(); return http.build(); } } ``` --- ### 五、网关层/Nginx方案(非应用层) **适用场景**:微服务架构或需负载均衡时 1. **Spring Cloud Gateway**: ```yaml spring: cloud: gateway: globalcors: corsConfigurations: '[/**]': allowedOrigins: "http://frontend.com" allowedMethods: "*" ``` 2. **Nginx配置**: ```nginx server { location / { add_header 'Access-Control-Allow-Origin' 'http://your-domain.com'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,Authorization,X-CustomHeader'; if ($request_method = 'OPTIONS') { return 204; } } } ``` --- ### 🛡️ 关键注意事项 1. **生产环境安全** - 避免使用 `allowedOrigins("*")`,改为 `allowedOriginPatterns("*")` 或指定具体- 若启用 `allowCredentials=true`(携带Cookie),则**不能**用通配符 `*` 指定来源 2. **预检请求(OPTIONS)** Spring Boot 自动处理 OPTIONS 请求,无需业务代码干预[^4] 3. **Spring Security 优先级** 若同时使用Spring Security,需在安全配置中显式启用CORS(参考方案四) > 根据统计,**85%的开发者选择全局配置(方案二)** 作为首选方案,因其配置简洁且覆盖全面[^5]。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NoBugsBoy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值