Java基础教程（268）开发Web应用之处理CORS：跨越边界：Java Web应用中CORS难题的全方位破解指南-优快云博客

在当今前后端分离架构大行其道的开发环境中，跨域资源共享（CORS）已成为Java Web应用开发中不可回避的核心问题。本文将从原理到实践，为您全面解析CORS机制并提供可操作的解决方案。

1. 为什么CORS如此重要？

同源策略（Same-Origin Policy）是浏览器最基本的安全机制，它阻止了不同源的客户端脚本进行交互。而CORS作为一种W3C标准，允许服务器声明哪些外部源有权访问资源，实现了安全可控的跨域通信。

关键术语解读：

简单请求：直接发送实际请求（使用GET/POST/HEAD方法且符合特定条件）
预检请求：非简单请求前先发送OPTIONS请求进行权限查询
凭证请求：需要携带Cookies或HTTP认证信息的跨域请求

2. Java中的CORS处理实战

2.1 Servlet过滤器方式

@WebFilter("/*")
public class CorsFilter implements Filter {
    
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) 
            throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        
        response.setHeader("Access-Control-Allow-Origin", "https://trusted-domain.com");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Max-Age", "3600");
        
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }
}

2.2 Spring框架的优雅解决方案

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("https://trusted-domain.com")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("Content-Type", "Authorization")
                .allowCredentials(true)
                .maxAge(3600);
    }
}