SpringBoot 如何使用 CORS 进行跨域资源共享
在 Web 开发中,跨域资源共享(CORS)是常见的问题之一。CORS 是一种安全机制,用于限制跨域请求对目标服务器的访问。在本文中,我们将介绍如何在 Spring Boot 中使用 CORS 进行跨域资源共享。
什么是 CORS?
CORS 是一种 Web 应用程序的安全机制,用于限制跨域请求对目标服务器的访问。如果一个 Web 应用程序从一个源请求资源,而该资源位于另一个源,那么跨域就发生了。CORS 机制允许服务器在响应中设置一组跨域访问控制头来告诉浏览器哪些跨域请求是允许的。
如何配置 CORS?
在 Spring Boot 中,可以通过配置 WebMvcConfigurerAdapter 来启用 CORS。以下是一个示例:
@Configuration public class WebMvcConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://localhost:8080") .allowedMethods("GET", "POST") .allowedHeaders("header1", "header2", "header3") .exposedHeaders("header1", "header2") .allowCredentials(false).maxAge(3600); } }
在上面的示例中,我们使用 @Configuration 注解创建了一个名为 WebMvcConfig 的类,并继承了 WebMvcConfigurerAdapter 类。我们使用 addCorsMappings() 方法配置了 CORS,指定了允许跨域请求的 URL、HTTP 方法、请求头、响应头以及其他选项。
CORS 配置选项
在上面的示例中,我们使用了以下选项:
- allowedOrigins - 允许跨域请求的 URL。
- allowedMethods - 允许跨域请求的 HTTP 方法。
- allowedHeaders - 允许跨域请求的请求头。
- exposedHeaders - 允许被客户端访问的响应头。
- allowCredentials - 是否允许发送 cookie 等凭据信息。
- maxAge - 响应的最大缓存时间(以秒为单位)。
全局 CORS 配置
如果您希望在整个应用程序中启用 CORS,可以使用以下配置:
@Configuration @EnableWebMvc public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("*") .allowedHeaders("*") .exposedHeaders("header1", "header2") .allowCredentials(false).maxAge(3600); } }
在上面的示例中,我们使用 @Configuration 和 @EnableWebMvc 注解创建了一个名为 WebConfig 的类,并实现了 WebMvcConfigurer 接口。我们使用 addCorsMappings() 方法配置了全局 CORS,指定了允许跨域请求的 URL、HTTP 方法、请求头、响应头以及其他选项。
使用 Filter 配置 CORS
另一种配置 CORS 的方法是使用 Filter。以下是一个示例:
@Component @Order(Ordered.HIGHEST_PRECEDENCE) public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; HttpServletRequest request = (HttpServletRequest) req; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } }
在上面的示例中,我们使用 @Component 注解创建了一个名为 CorsFilter 的类,并实现了 Filter 接口。我们使用 doFilter() 方法配置了 CORS,指定了允许跨域请求的 URL、HTTP 方法、请求头、响应头以及其他选项,并在 OPTIONS 方法中返回 HTTP OK 状态码。
遇到的问题及解决方案
在实际使用中,可能会遇到一些问题。以下是一些常见的问题及解决方案:
1. 配置 CORS 无效
如果您的配置不起作用,可以尝试配置 @CrossOrigin 注解。例如:
@RestController @RequestMapping("/api") @CrossOrigin(origins = "http://localhost:8080") public class ApiController { // ... }
在上面的示例中,我们使用 @CrossOrigin 注解配置了允许跨域请求的 URL。
2. 预检请求失败
当浏览器尝试进行跨域请求时,它将发送一个预检请求,以确定服务器是否允许跨域请求。如果预检请求失败,则跨域请求将被阻止。以下是一些可能导致预检请求失败的原因:
- 请求头未被正确配置。如果您使用了自定义请求头,需要将它们包含在 allowedHeaders 中。
- 请求方法未被正确配置。如果您使用了非 GET 或 POST 方法,需要将它们包含在 allowedMethods 中。
- 响应头未被正确配置。如果您使用了自定义响应头,需要将它们包含在 exposedHeaders 中。
3. 跨域请求失败
当浏览器发送跨域请求时,它将检查服务器是否允许该跨域请求。如果服务器不允许该请求,浏览器将阻止该请求。以下是一些可能导致跨域请求失败的原因:
- 允许跨域请求的 URL 未被正确配置。请确保将需要允许跨域请求的 URL 包含在 allowedOrigins 中。
- 允许跨域请求的 HTTP 方法未被正确配置。请确保将需要允许跨域请求的 HTTP 方法包含在 allowedMethods 中。
结论
在本文中,我们介绍了如何在 Spring Boot 中使用 CORS 进行跨域资源共享。我们介绍了配置 CORS 的两种方法:使用 WebMvcConfigurerAdapter 和 Filter。我们还讨论了一些可能遇到的问题及其解决方案。我们希望本文能够帮助您解决在 Spring Boot 中使用 CORS 的问题。
