深度解析 Spring MVC `@CrossOrigin` 注解

最新推荐文章于 2025-10-16 14:54:52 发布
原创 最新推荐文章于 2025-10-16 14:54:52 发布 · 1.2k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #mvc #java #源码 #注解 #学习

深度解析 Spring MVC @CrossOrigin 注解

@CrossOrigin 是 Spring MVC 中处理跨域资源共享(CORS)的核心注解,它提供了一种声明式的方式来配置跨域请求策略。本文将全面剖析其工作原理、源码实现、使用场景及最佳实践。

一、注解定义与核心作用

1. 源码定义

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {
    @AliasFor("origins")
    String[] value() default {};
    
    @AliasFor("value")
    String[] origins() default {};
    
    String[] allowedHeaders() default {};
    
    String[] exposedHeaders() default {};
    
    RequestMethod[] methods() default {};
    
    String allowCredentials() default "";
    
    long maxAge() default -1;
}

2. 核心作用

  • 跨域请求支持:启用跨源资源共享(CORS)
  • 精细控制:细粒度配置跨域策略
  • 安全机制:在保障安全的前提下实现跨域访问
  • 简化开发:替代传统过滤器实现方式

二、CORS 工作原理

1. 跨域请求流程

客户端(浏览器)服务端1. 预检请求 (OPTIONS)2. CORS 响应头3. 实际请求 (GET/POST等)4. 带CORS头的实际响应客户端(浏览器)服务端

2. 核心响应头

响应头作用示例值
Access-Control-Allow-Origin允许的源*https://example.com
Access-Control-Allow-Methods允许的方法GET, POST, PUT
Access-Control-Allow-Headers允许的请求头Content-Type, Authorization
Access-Control-Expose-Headers暴露的响应头X-Custom-Header
Access-Control-Allow-Credentials是否允许凭证true
Access-Control-Max-Age预检缓存时间3600(秒)

三、源码深度解析

1. 核心处理器:CorsProcessor

public class DefaultCorsProcessor implements CorsProcessor {
    
    public boolean processRequest(CorsConfiguration config, 
                                HttpServletRequest request, 
                                HttpServletResponse response) {
        
        // 1. 检查是否CORS请求
        if (!CorsUtils.isCorsRequest(request)) {
            return true;
        }
        
        // 2. 处理预检请求
        if (CorsUtils.isPreFlightRequest(request)) {
            return handlePreFlight(config, request, response);
        }
        
        // 3. 处理实际CORS请求
        return handleActual(config, request, response);
    }
    
    private boolean handlePreFlight(CorsConfiguration config, 
                                   HttpServletRequest request, 
                                   HttpServletResponse response) {
        // 设置CORS响应头
        response.setHeader(ACCESS_CONTROL_ALLOW_ORIGIN, 
                          config.getAllowedOrigins().get(0));
        
        if (config.getMaxAge() != null) {
            response.setHeader(ACCESS_CONTROL_MAX_AGE, 
                              config.getMaxAge().toString());
        }
        
        // ... 其他响应头处理
    }
}

2. 注解解析器:CorsAnnotationProcessor

class CorsAnnotationProcessor {
    public CorsConfiguration processAnnotation(CrossOrigin annotation) {
        CorsConfiguration config = new CorsConfiguration();
        
        // 解析注解属性
        for (String origin : annotation.origins()) {
            config.addAllowedOrigin(origin);
        }
        
        for (String header : annotation.allowedHeaders()) {
            config.addAllowedHeader(header);
        }
        
        config.setAllowCredentials(Boolean.parseBoolean(annotation.allowCredentials()));
        config.setMaxAge(annotation.maxAge());
        
        return config;
    }
}

3. 配置合并机制

public class HandlerMethodCorsConfiguration extends CorsConfiguration {
    public HandlerMethodCorsConfiguration(CorsConfiguration globalConfig, 
                                          CorsConfiguration methodConfig) {
        // 合并全局配置和方法级配置
        this.combine(globalConfig);
        if (methodConfig != null) {
            this.combine(methodConfig);
        }
    }
    
    private void combine(CorsConfiguration other) {
        // 合并允许的来源
        if (other.getAllowedOrigins() != null) {
            this.setAllowedOrigins(other.getAllowedOrigins());
        }
        
        // 合并允许的方法
        if (other.getAllowedMethods() != null) {
            this.setAllowedMethods(other.getAllowedMethods());
        }
        
        // ... 其他属性合并
    }
}

四、使用场景与最佳实践

1. 全局跨域配置

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
            .allowedOrigins("https://example.com", "https://app.example.com")
            .allowedMethods("GET", "POST", "PUT", "DELETE")
            .allowCredentials(true)
            .maxAge(3600);
        
        registry.addMapping("/public/**")
            .allowedOrigins("*")
            .allowedMethods("GET");
    }
}

2. 控制器级别配置

@RestController
@CrossOrigin(origins = "https://app.example.com", 
            allowedHeaders = {"Content-Type", "Authorization"},
            maxAge = 1800)
@RequestMapping("/api/users")
public class UserController {
    
    @GetMapping
    public List<User> getUsers() {
        return userService.getAllUsers();
    }
}

3. 方法级别细粒度控制

@RestController
@RequestMapping("/api/products")
public class ProductController {
    
    @GetMapping("/{id}")
    @CrossOrigin(origins = "https://store.example.com")
    public Product getProduct(@PathVariable Long id) {
        return productService.getById(id);
    }
    
    @PostMapping
    @CrossOrigin(origins = "https://admin.example.com",
                allowedHeaders = "Content-Type, X-Admin-Token",
                exposedHeaders = "X-RateLimit-Remaining",
                allowCredentials = "true")
    public Product createProduct(@RequestBody Product product) {
        return productService.save(product);
    }
}

4. 安全跨域配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
            .configurationSource(request -> {
                CorsConfiguration config = new CorsConfiguration();
                config.setAllowedOrigins(Arrays.asList("https://trusted-domain.com"));
                config.setAllowedMethods(Arrays.asList("GET", "POST"));
                config.setAllowedHeaders(Arrays.asList("Content-Type", "Authorization"));
                config.setAllowCredentials(true);
                config.setMaxAge(3600L);
                return config;
            });
    }
}

五、高级特性详解

1. 动态跨域策略

@RestController
public class DynamicCorsController {
    
    @GetMapping("/dynamic")
    public ResponseEntity<?> dynamicEndpoint(HttpServletRequest request) {
        // 根据请求动态决定允许的源
        String origin = request.getHeader("Origin");
        if (isAllowedOrigin(origin)) {
            return ResponseEntity.ok()
                .header("Access-Control-Allow-Origin", origin)
                .body("Dynamic response");
        }
        return ResponseEntity.status(HttpStatus.FORBIDDEN).build();
    }
    
    private boolean isAllowedOrigin(String origin) {
        return origin != null && origin.endsWith("example.com");
    }
}

2. CORS 与 OAuth2 整合

@Configuration
@EnableAuthorizationServer
public class OAuth2ServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.tokenKeyAccess("permitAll()")
               .checkTokenAccess("isAuthenticated()")
               .allowFormAuthenticationForClients();
    }
    
    @Bean
    public CorsFilter corsFilter() {
        return new CorsFilter(request -> {
            CorsConfiguration config = new CorsConfiguration();
            config.addAllowedOrigin("https://oauth-client.com");
            config.addAllowedHeader("*");
            config.addAllowedMethod("*");
            return config;
        });
    }
}

3. 微服务架构中的 CORS

@Configuration
public class GatewayCorsConfig {
    @Bean
    public CorsWebFilter corsFilter() {
        return new CorsWebFilter(exchange -> {
            CorsConfiguration config = new CorsConfiguration();
            
            // 允许所有前端应用域
            config.addAllowedOrigin("https://frontend-app.com");
            
            // 允许必要的请求头
            config.addAllowedHeader("Content-Type");
            config.addAllowedHeader("Authorization");
            config.addAllowedHeader("X-Tenant-Id");
            
            // 允许所有方法
            config.addAllowedMethod("*");
            
            // 设置缓存时间
            config.setMaxAge(7200L);
            
            return config;
        });
    }
}

六、最佳实践总结

1. 安全跨域配置建议

场景推荐配置说明
公共APIallowedOrigins("*")只读接口无敏感数据
认证API指定具体域名包含认证信息的接口
私有API企业内网域名仅限内部使用
混合使用全局开放 + 方法级限制灵活控制
移动应用使用通配符子域 *.example.com适配多端

2. 生产环境配置示例

@Configuration
public class ProductionCorsConfig implements WebMvcConfigurer {
    @Value("${cors.allowed.origins}")
    private String[] allowedOrigins;
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
            .allowedOrigins(allowedOrigins)
            .allowedMethods("GET", "POST", "PUT", "PATCH", "DELETE")
            .allowedHeaders("Content-Type", "Authorization", "X-Requested-With")
            .exposedHeaders("X-RateLimit-Limit", "X-RateLimit-Remaining")
            .allowCredentials(true)
            .maxAge(3600);
    }
}

3. 性能优化策略

@Bean
public CorsFilter corsFilter() {
    // 使用CorsFilter代替@CrossOrigin注解
    // 在Filter层处理,性能更高
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("https://example.com");
    config.addAllowedMethod("*");
    config.addAllowedHeader("*");
    config.setMaxAge(7200L); // 2小时预检缓存
    
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

七、常见问题解决方案

1. 预检请求失败

解决方案

// 确保OPTIONS请求被处理
@Override
public void configure(WebSecurity web) {
    web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
}

// 配置允许OPTIONS方法
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS"); // 包含OPTIONS
    }
}

2. 凭证与通配符冲突

问题Cannot use allowedOrigins "*" and allowCredentials true

// 解决方案1:使用具体域名
.allowedOrigins("https://client.com")
.allowCredentials(true)

// 解决方案2:动态确定源
@Bean
public CorsFilter corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", request -> {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 动态添加允许的源
        return config;
    });
    return new CorsFilter(source);
}

3. 复杂请求头处理

// 配置接受自定义头
@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/complex/**")
        .allowedOrigins("https://complex-app.com")
        .allowedHeaders("Content-Type", "X-Custom-Header", "X-Extra-Header")
        .exposedHeaders("X-Response-Code", "X-Response-Time");
}

八、未来发展方向

1. 安全增强:CORS + CSP 整合

@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .cors().configurationSource(corsConfigurationSource())
            .and()
            .headers()
                .contentSecurityPolicy("default-src 'self'; script-src 'self' 'unsafe-inline'");
        return http.build();
    }
    
    private CorsConfigurationSource corsConfigurationSource() {
        // CORS配置
    }
}

2. 智能 CORS 策略管理

@Bean
public CorsFilter smartCorsFilter(CorsPolicyService policyService) {
    return new CorsFilter(request -> {
        // 从中央策略服务获取配置
        return policyService.getCorsConfig(request);
    });
}

3. 边缘计算集成

@Configuration
@EnableEdgeComputing
public class EdgeCorsConfig {
    @Bean
    public CorsEdgeFilter edgeCorsFilter() {
        return new CorsEdgeFilter(config -> {
            config.setEdgeCaching(true);
            config.setGlobalCorsRules(loadGlobalRules());
        });
    }
}

九、总结

@CrossOrigin 是 Spring MVC 实现跨域访问的关键技术,其核心价值在于:

  1. 便捷性:简化 CORS 配置,无需复杂过滤器
  2. 精细控制:支持全局、控制器、方法三级配置
  3. 安全性:在开放访问的同时保障资源安全
  4. 标准化:符合 W3C CORS 规范

在实际应用中应当:

  • 限制来源:避免使用 * 作为来源,尤其是需要凭证时
  • 明确方法:指定必要的 HTTP 方法
  • 控制头部:限制必要的请求和响应头
  • 利用缓存:设置合理的 maxAge 减少预检请求

在安全实践中:

  • 生产环境禁用通配符:当 allowCredentials=true
  • 结合 CSP:提供额外的安全层
  • 监控异常:记录异常的 CORS 请求
  • 定期审计:检查跨域策略是否符合安全要求

随着技术演进:

  • 边缘计算:在 CDN 层实现 CORS
  • 策略即代码:动态策略管理
  • 零信任整合:与现代安全架构融合
  • 协议演进:适应 HTTP/3 新特性

掌握 @CrossOrigin 的高级特性和最佳实践,能够帮助开发者:

  • 构建跨域安全的现代化 Web 应用
  • 实现微服务架构下的灵活跨域策略
  • 优化跨域请求性能
  • 满足合规性要求

在 Spring 生态中,随着 WebFlux 和 Spring Cloud Gateway 的发展,跨域处理机制也在不断创新,深入理解其原理和应用是构建高效能分布式系统的关键技能。

Spring Boot @CrossOrigin 跨域注解使用详解
学亮编程手记
09-24 527
注解Spring Boot解决跨域问题的便捷方式。对于简单的场景可以使用注解方式,对于复杂需求推荐使用全局配置。合理配置跨域策略可以有效保障应用的安全性。
@CrossOrigin注解的使用指南
LSW1737554365的博客
11-03 3157
CrossOrigin注解Spring框架提供的一种注解,用于配置CORS策略。通过在控制器类或方法上添加@CrossOrigin注解,我们可以指定哪些来源可以访问该类或方法,从而实现对CORS的简化配置。@CrossOrigin注解支持多种配置选项,例如允许特定来源、允许所有来源、指定请求头和响应头等。
@CrossOrigin的作用
zwh1zwh的博客
09-17 989
这是一个由浏览器的同源策略引起的安全机制。​同源​:指的是两个页面的协议、域名、端口三者完全相同。​跨域​:只要协议、域名、端口中有任何一个不同,就是跨域。例如,你的前端应用跑在,而后端 API 部署在。虽然域名都是localhost,但端口不同(3000 vs 8080),浏览器就会认为这是跨域请求。出于安全考虑,浏览器默认会阻止这种跨域请求发出的响应被前端 JavaScript 代码读取(尤其是带有认证信息的请求)。方面解释​是什么​。
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
注解 @CrossOrigin
青苔小榭
08-17 4万+
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
SpringMVC系列-7 @CrossOrigin注解与跨域问题
shengyu
11-25 6693
理解同源策略是理解跨域的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成跨站脚本攻击;不同源之间进行限制。 不同源之间形成跨域,包括:协议、域名、端口。http和https,localhost和127.0.0.1也会形成跨域(即使经过域名解析后相同)。 由于浏览器引擎实现了同源策略,即对跨域访问进行了限制,因此存在跨域问题。
Java注解篇:@CrossOrigin
05-18 2351
@CrossOrigin 是一个简单但非常实用的注解,极大简化了跨域配置,特别适合前后端分离架构下的 API 接口服务。
Spring注解驱动开发: AnnotationUtils与Spring MVC深度集成
[Spring注解驱动开发: AnnotationUtils与Spring MVC深度集成](https://www.theknowledgeacademy.com/_files/images/The_five_built-in_annotations_in_Java.png) # 1. Spring注解驱动开发概述 Spring注解驱动...
Spring 注解全面学习笔记
最新发布
读书少偏偏爱思考
10-16 842
本文总结了Spring注解的核心概念与应用,主要内容包括: 注解基础:解释注解作为代码"标签"的作用,说明其在Spring中替代XML配置的重要性,并列出核心专业名词如AOP、依赖注入等。 生命周期:详细分析SOURCE、CLASS、RUNTIME三种注解生命周期,提供代码示例演示不同级别注解的可见性差异,给出实际应用场景选择建议。 核心注解实战:展示组件扫描(@ComponentScan)、Bean定义(@Bean)及分层架构注解(@Service/@Repository/@RestC
Spring Web MVC 4.3.26中英文对照API文档
Spring 4.3 的全部特性,包括基于 Java Config 的零 XML 配置方式、条件化 Bean 注册(@Conditional)、更灵活的自动装配策略、对 HTTP/2 的初步兼容、增强的 CORS 跨域配置支持(通过 @CrossOrigin 注解),以及对 ...
如果你是一名专业的java高级架构师,现在你在面试知识,如下是SpringSpringMVC的面试知识体系结构图 请按照这个体系给出每个知识点的学习理解方便记忆和消化,同时给出每个知识点的高频面试的标准面试答案,结合项目经验给出解释和实战 SpringSpringMVC面试核心知识体系 ├── 一、Spring框架基础 │ ├── 核心概念 │ │ ├── Spring是什么?有哪些核心优势?(解耦、集成、AOP等) │ │ ├── IoC(控制反转)和DI(依赖注入):概念、区别与好处? │ │ └:Spring容器:BeanFactory vs ApplicationContext区别? │ ├── 配置方式 │ │ ├── 有哪几种配置方式?(XML、注解Java Config) │ │ ├── @Configuration + @Bean 与 @Component 的区别? │ │ └── 如何混合使用不同的配置方式? │ └── Bean管理 │ ├── Bean的作用域:singleton, prototype, request等区别? │ ├── Bean的生命周期:从创建到销毁的完整流程? │ └── 循环依赖问题:什么是循环依赖?Spring如何解决(三级缓存)? ├── 二、IoC(控制反转)与DI(依赖注入)深度解析 │ ├── 依赖注入方式 │ │ ├── 构造器注入 vs Setter注入:推荐哪种?为什么? │ │ ├── 字段注入(@Autowired)的优缺点? │ │ └── @Autowired, @Resource, @Inject 注解的区别? │ ├── 自动装配 │ │ ├── 自动装配的模式(byName, byType等)? │ │ ├── @Primary 和 @Qualifier 注解的作用与区别? │ │ └:如何解决自动装配时的歧义性? │ └── 条件化装配 │ ├── @Profile:作用?如何激活不同环境的配置? │ └── @Conditional:原理?如何自定义条件? ├── 三、AOP(面向切面编程) │ ├── AOP核心概念 │ │ ├── AOP解决了什么问题?主要应用场景?(日志、事务、安全等) │ │ ├── 连接点(Joinpoint)、切点(Pointcut)、通知(Advice)、切面(Aspect)概念? │ │ └── 织入(Weaving):编译期、类加载期、运行期织入区别? │ ├── 代理机制 │ │ ├── Spring AOP默认使用哪种代理?JDK动态代理 vs CGLIB代理区别? │ │ └── 什么情况下使用CGLIB代理? │ └── 通知类型与使用 │ ├── 5种通知类型:@Before, @After, @AfterReturning, @AfterThrowing, @Around │ ├── @Around 和其他通知的区别?如何控制目标方法执行? │ └── 如何获取方法参数、方法名等信息(JoinPoint, ProceedingJoinPoint)? ├── 四、Spring事务管理 │ ├── 事务核心接口 │ │ ├── PlatformTransactionManager:作用?常见实现类(DataSourceTransactionManager等) │ │ ├── TransactionDefinition:定义事务属性(传播行为、隔离级别等) │ │ └── TransactionStatus:描述事务状态 │ ├── 声明式事务 │ │ ├── 如何开启声明式事务?(@EnableTransactionManagement) │ │ ├── @Transactional 注解可以作用在哪些地方?(类、方法)优先级? │ │ └── 事务失效的常见场景?(非public方法、自调用、异常被捕获等) │ └── 事务属性 │ ├── 传播行为(Propagation):REQUIRED, REQUIRES_NEW, NESTED等区别? │ ├── 隔离级别(Isolation):READ_UNCOMMITTED, READ_COMMITTED等与数据库关系? │ └── 回滚规则:如何设置回滚/不回滚的异常类型? ├── 五、Spring MVC核心架构 │ ├── 请求处理流程 │ │ ├── 描述一次请求的完整处理流程(DispatcherServlet -> 控制器 -> 视图)? │ │ ├── 核心组件:DispatcherServlet, HandlerMapping, HandlerAdapter, ViewResolver作用? │ │ └── 流程图的关键步骤是什么? │ ├── 控制器(Controller) │ │ ├── @Controller 和 @RestController 的区别? │ │ ├── 常用注解:@RequestMapping, @GetMapping, @PostMapping等 │ │ └── @ResponseBody 的作用?如何将返回值转为JSON(HttpMessageConverter)? │ └── 数据处理与视图解析 │ ├── 参数绑定:@RequestParam, @PathVariable, @RequestBody, @ModelAttribute区别? │ ├── 数据模型:Model, ModelMap, ModelAndView 的使用? │ └── 视图解析:InternalResourceViewResolver如何工作? ├── 六、Spring MVC高级特性 │ ├── 拦截器(Interceptor) │ │ ├── 拦截器 vs 过滤器(Filter)的区别? │ │ ├── 拦截器的三个方法:preHandle, postHandle, afterCompletion执行时机? │ │ └── 如何配置多个拦截器?执行顺序? │ ├── 统一异常处理 │ │ ├── @ControllerAdvice + @ExceptionHandler 如何实现全局异常处理? │ │ ├── HandlerExceptionResolver 接口的作用? │ │ └── @ResponseStatus 注解的使用? │ └── 文件上传与Restful API │ ├── 如何实现文件上传?(MultipartResolver) │ ├── Restful风格API的设计原则?(GET/POST/PUT/DELETE) │ └── 如何解决跨域问题?(@CrossOrigin, CorsFilter) ├── 七、Spring与第三方框架集成 │ ├── 数据访问 │ │ ├── Spring JDBC:JdbcTemplate的优势? │ │ ├── 集成MyBatis:需要哪些配置?@MapperScan作用? │ │ └── 集成JPA(Hibernate):如何配置? │ ├── 测试框架 │ │ ├── Spring TestContext Framework:@SpringBootTest, @DataJpaTest等 │ │ ├── 如何模拟MVC测试?(@WebMvcTest, MockMvc) │ │ └── 如何 mock Bean?(@MockBean) │ └── 其他集成 │ ├── 如何集成缓存?(@Cacheable, 支持Redis, Ehcache等) │ └── 如何集成任务调度?(@Scheduled, @Async) ├── 八、Spring新特性与原理进阶 │ ├── Spring Boot关联 │ │ ├── Spring Boot 和 Spring 的关系?自动配置原理? │ │ └── starter 的作用?如何自定义 starter? │ ├── 设计模式应用 │ │ ├── Spring中使用了哪些设计模式?(工厂、单例、代理、模板方法等) │ │ └── 举例说明模板方法模式在JdbcTemplate中的应用? │ └── 源码与原理 │ ├── Spring如何管理单例Bean的线程安全问题? │ ├── ApplicationContext的刷新流程(refresh()方法)大致过程? │ └── Spring事件机制(ApplicationEvent、ApplicationListener)? └── 九、常见问题与解决方案 ├── 性能与配置 │ ├── 如何优化Spring应用启动速度?(懒加载、组件扫描路径优化) │ └── 如何外部化配置?(@PropertySource, @Value, @ConfigurationProperties) ├── 开发实践 │ ├── 如何优雅地读取配置文件? │ ├── Spring中有哪些扩展点?(BeanPostProcessor, BeanFactoryPostProcessor) │ └── 如何自定义注解并使其生效? └── 疑难杂症 ├── @Transactional 和 @Async 在同一个类中调用为什么失效?(代理机制) └── 如何解决Spring应用中的内存泄漏问题?
09-29
1. 注解方式:@CrossOrigin 2. 全局配置: ```java @Bean public CorsFilter corsFilter() { return new CorsWebFilter((corsConfigSource) -> { CorsConfiguration config = new CorsConfiguration(); config....
Spring @CrossOrigin 注解原理实现
08-18
主要介绍了Spring @CrossOrigin 注解原理实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Spring AI 项目实战(二):Spring Boot + AI + DeepSeek 深度实战(附完整源码
博客
05-25 3334
本文介绍了SpringAI框架与国产大模型DeepSeek的工程化集成方案,探讨了传统软件开发与AI工程化开发的核心差异。文章详细演示了从环境搭建到应用开发的全流程,包括项目配置、API集成、流式响应处理等关键环节。通过SpringAI的标准化接口封装,开发者可以快速实现营销文案生成、代码生成、智能问答等功能,并支持高并发推理和多模型管理。本文还剖析了SpringAI的自动装配原理和核心接口设计,为企业级AI应用开发提供了可扩展的技术方案。该方案显著降低了AI集成门槛,为国产化AI模型落地提供了工程实践参考
@CrossOrigin注解与跨域访问
weixin_30235225的博客
01-21 910
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
spring】@CrossOrigin注解学习
一个写了10年bug的程序员日常笔记。
05-17 1892
Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
@CrossOrigin注解
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
10-15 405
在Web应用程序中,如果JS代码试图从一个域名获取来自不同域名的资源,这将会触发浏览器的同源策略,从而导致浏览器阻止跨域请求。使用下面的注解可以允许浏览器绕过同源策略,从而允许跨域请求!该注解可以接解决跨域请求的问题@CrossOrigin。可以用在方法上或者类上。
注解@CrossOrigin解决跨域问题
weixin_30668887的博客
06-11 2239
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。   跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不...
注解】 @CrossOrigin
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
04-07 3256
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? @CrossOrigin是用来处理跨域请求的注解 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。     
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 1万+
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值