在 Ruoyi 项目中如何解决跨域问题(CORS)

最新推荐文章于 2025-10-11 15:27:16 发布
原创 最新推荐文章于 2025-10-11 15:27:16 发布 · 641 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

在前后端分离的项目开发中,跨域请求是不可避免的问题,尤其是使用 Vue/React 前端 + Spring Boot 后端 的场景。如果不处理跨域请求,浏览器会报类似如下错误:

Access to XMLHttpRequest at 'http://localhost:8080/api/user' from origin 'http://localhost:3000' has been blocked by CORS policy

在 Ruoyi 项目中,官方推荐的做法是通过 Spring Security + CorsFilter 来解决跨域问题。下面我结合实际代码,给大家详细讲解。

1️⃣ 原理简介

CORS(Cross-Origin Resource Sharing) 是浏览器的一种机制,用于允许或拒绝跨域请求。跨域请求是指:

  • 前端页面地址(协议+域名+端口)与后端接口地址不一致;

  • 浏览器默认同源策略会阻止这种请求。

解决跨域问题的思路有两种:

  1. 全局配置 CORS(通过 WebMvcConfigurerCorsFilter

  2. Spring Security 集成 CORS(Ruoyi 的做法)

2️⃣ Ruoyi 中的跨域实现

在 Ruoyi 项目中,跨域是通过 CorsFilter 配合 Spring Security 过滤器链 来解决的。

下面是核心代码示例(摘自 SecurityConfig):

@Autowired
private CorsFilter corsFilter;

@Bean
protected SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception
{
    return httpSecurity
        // 禁用 CSRF,因为使用的是 token
        .csrf(csrf -> csrf.disable())
        // 允许静态资源访问
        .authorizeHttpRequests((requests) -> {
            requests.antMatchers("/login", "/register", "/captchaImage").permitAll()
                    .anyRequest().authenticated();
        })
        // 添加 JWT Filter
        .addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
        // 添加 CORS Filter
        .addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class)
        .addFilterBefore(corsFilter, LogoutFilter.class)
        .build();
}

关键点解析:

  1. CorsFilter加入到 Spring Security 过滤器链 中:

    • addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class)
      确保跨域处理在 JWT 认证前执行。

    • addFilterBefore(corsFilter, LogoutFilter.class)
      确保登出操作也可以跨域调用。

  2. @Bean 注入 CorsFilter

    • Ruoyi 默认会创建一个 CorsFilter Bean,用于处理 OPTIONS 请求(浏览器预检请求)。

    • 可以通过 CorsConfigurationSource 配置允许的域名、请求方法、请求头等。

  3. 配合 JWT 认证

    • 前端请求带 token 时,先经过 CorsFilter 处理跨域;

    • 然后再由 JwtAuthenticationTokenFilter 校验 token;

    • 保证跨域和安全验证同时生效。

3️⃣ 常用 CORS 配置示例

如果你想自定义允许跨域的域名,可以像下面这样配置 CorsFilter

@Bean
public CorsFilter corsFilter() {
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true); // 是否允许发送 Cookie
    config.addAllowedOriginPattern("*"); // 允许的域名,* 表示所有
    config.addAllowedHeader("*"); // 允许的请求头
    config.addAllowedMethod("*"); // 允许的方法 GET/POST/PUT/DELETE

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

这样配置后,前端无论从哪个域名访问后端接口,都不会再出现跨域问题。

4️⃣ 总结

在 Ruoyi 项目中解决跨域问题的核心思路:

  1. 通过 CorsFilter 全局处理跨域请求

  2. 在 Spring Security 过滤器链中注册 CorsFilter,确保跨域请求在认证前处理;

  3. 可自定义 CORS 配置,控制允许的域名、请求头和方法。

小结:跨域问题本质上是浏览器安全策略的问题,不处理会导致前端无法请求接口;在 Ruoyi 中,通过 CorsFilter 和 Spring Security 配合,既保证安全,又解决了跨域问题。

💡 Tips

  • 如果前端和后端在同一域名和端口下开发(例如通过 Nginx 反向代理),可以不配置跨域。

  • 开发环境推荐允许所有域名(*),上线时要严格限制来源域名。

若依框架二次开发——若依如何配置允许访问
bjzhang75的博客
04-24 1863
若依框架二次开发——若依如何配置允许访问
SpringCloud项目解决问题
weixin_45799076的博客
12-30 1906
SpringCloud项目解决问题 一. , 浏览器对于javascript的同源策略的限制 。 1. 以下情况都属于 名不同 : www.tmall.com 与 www.taobao.com 名相同,端口不同 : www.tmall.com:8080 与 www.taobao.com:8081 二级名不同 : item.jd.com 与 miaosha.jd.com 2...
解决vue请求接口第一次成功,第二次失败问题
10-14
主要介绍了解决vue请求接口第一次成功,第二次失败问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
SpringBoot超赞的配置类——CorsConfig
ZBYTSL的博客
01-10 4725
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web....
若依框架Springboot接口调用,前端请求(blocked by CORS policy: No ‘Access-Control-Allow-Origin‘)的问题
最新发布
ssgo66的专栏
10-11 144
在路径 ruoyi-framework\src\main\java\com\ruoyi\framework\config 下创建文件CorsConfig.java。当前端应用尝试从与其自身不同的、协议或端口获取资源,而该的响应头部没有包含Access-Control-Allow-Origin指令来明确允许这种请求CORS(Cross-Origin Resource Sharing,源资源共享)策略阻止了一个请求。接口写完后,使用接口测试工具测试也通过了,但是用户反映在网页中调用会报错。
若依前后端分离框架下载需要授权的url文件,解决问题
Hunter_Kevin的博客
03-24 6869
一、问题描述: 使用若依前后端分离项目,前台点击下载图片,触发下载事件,而不是直接打开显示图片 二、解决思路: 前端调用后端接口,将需要下载的图片https链接传给后端下载 后端需要设置响应头response.addHeader("Access-Control-Allow-Origin", "*"); 允许 前端需要设置 responseType: 'blob' 告诉后端前端需要的是blob二进制文件流,否则会导致返回乱码 前端发送请求调用后端自定义文件下载接口的代码可以参考:链接指引 或者 前
若依分离版+CAS,解决登录后重定向,单点登出、问题()
qq_24532547的博客
02-09 2550
若依分离版+CAS
06-若依前后端分离项目问题解决方式
热门推荐
老刀
07-14 2万+
就是前后端分离项目前端无法把session等信息传递给后端服务器。源自浏览器同源策略。同源策略是一种约定,同源策略会阻止一个javascript脚本和另外一个的内容进行交互。只要两个站点的名或ip、端口、协议中的任意一个不同就认为是。同源策略是为了保证web应用的安全性,但是会给开发造成麻烦。ruoyi-vue 项目中使用了cors方式解决问题。...
-java解决办法.rar
10-08
javaWeb服务器配置Cors解决前端ajax问题,所需jar包:cors-filter-2.8.jar和java-property-utils-1.9.1.jar,具体操作步骤,请移步至:https://www.cnblogs.com/Marydon20170307/p/11579950.html
ruoyi微服务如何解决开发环境下问题
weixin_47180824的博客
04-26 2968
和定义Webfilter的bean很像,但是不知道为什么定义bean始终无法解决问题...
若依解决
紫月7575的博客
04-28 2855
若依解决
若依框架解决
qq_44968569的博客
08-02 3224
若依框架后端解决问题
DRF后端解决之django-cors-headers的使用
09-19
### DRF问题与django-cors-headers的解决方案 #### 问题概述 在Web开发中,出于安全考虑,浏览器实施了同源策略...希望上述内容能帮助你在实践中更好地运用`django-cors-headers`来解决DRF中的问题
ruoyi-vue如何解决问题
01-11
对于RuoYi-Vue项目而言,解决的方式主要集中在服务器端的设置上。 在`ruoyi-admin`模块下的Spring Boot应用中,可以通过全局CORS配置来允许来自特定名或所有名的请求[^2]: #### 方法一:通过配置类实现...
ruoyi框架解决
07-03
为了解决问题,可以在 `gateway.yml` 配置文件中添加 CORS 相关配置,使得所有接口都允许指定来源的请求。 ```yaml spring: cloud: gateway: globalcors: corsConfigurations: '[/**]': ...
手撕RuoYi-Vue代码 | 详解
DF10f-0001A
06-10 466
(Cross-Origin)​​ 是浏览器的一种安全机制——​​同源策略(Same-Origin Policy)​​ 的限制表现。当网页尝试访问与其自身​​来源(Origin)不同的资源​​(如API接口)时,浏览器会阻止该请求。​​解决机制​​:服务端通过响应头声明允许的规则(如 Access-Control-Allow-Origin)。​​防御核心​​:服务端生成并验证唯一 Token(如 CSRF-TOKEN),确保请求来自合法页面。​​正式请求​​:服务端响应允许后,浏览器发送实际请求
网关统一配置
weixin_46035332的博客
01-29 674
代码如下: @Configuration public class cors { @Bean public CorsWebFilter corsWebFilter(){ UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration configuration = new CorsConfiguration();
若依访问解决
X-Leon的博客
04-11 1万+
全局配置 全局CORS配置(在ResourcesConfig重写addCorsMappings方法) `/** web访问配置 / @Override public void addCorsMappings(CorsRegistry registry) { // 设置允许的路径 registry.addMapping("/**") // 设置允许请求名 .allowedOri...
Ruoyi-Vue处理问题、同时请求多个名接口(前后端处理)
qq_34746960的博客
10-17 4964
使用@CrossOrigin处理,及Ruoyi-Vue项目前端配置。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值