Spring Boot中CORS配置的全面指南：解决跨域请求问题

### 摘要 本文将详细解释如何在Spring Boot框架中配置CORS（跨源资源共享），以允许跨域请求。跨域问题源于Web应用中的同源政策，该政策限制了不同源（协议、域名和端口）的网页之间的交互。只有当这三个条件完全相同时，两个URL才被视为同源。 ### 关键词 Spring Boot, CORS, 跨域, 同源, 配置 ## 一、CORS概述与背景 ### 1.1 同源政策与跨域问题 在现代Web开发中，同源政策（Same-Origin Policy）是一个重要的安全机制，它限制了一个源（协议、域名和端口）的文档或脚本如何与另一个源的资源进行交互。这一政策的主要目的是防止恶意网站通过脚本访问其他网站的数据，从而保护用户的安全和隐私。例如，一个来自 `http://example.com` 的网页无法通过JavaScript直接访问 `http://another-example.com` 上的数据，除非这两个URL在协议、域名和端口上完全相同。 然而，这种严格的限制有时会带来不便，特别是在需要实现跨域请求的应用场景中。例如，前端应用可能需要从不同的后端服务获取数据，而这些服务可能位于不同的域名或端口上。为了解决这个问题，跨源资源共享（CORS）应运而生。CORS是一种机制，它允许服务器明确指定哪些外部来源可以访问其资源，从而放宽了同源政策的限制。 ### 1.2 CORS的工作原理 CORS通过在HTTP响应头中添加特定的字段来实现跨域请求的控制。这些字段告诉浏览器是否允许当前请求的来源访问资源。以下是几个关键的CORS响应头： - **Access-Control-Allow-Origin**：指定允许访问资源的来源。可以是一个具体的URL，也可以是通配符 `*` 表示允许所有来源。例如： ```http Access-Control-Allow-Origin: http://example.com ``` 或者 ```http Access-Control-Allow-Origin: * ``` - **Access-Control-Allow-Methods**：指定允许的HTTP方法。例如： ```http Access-Control-Allow-Methods: GET, POST, PUT, DELETE ``` - **Access-Control-Allow-Headers**：指定允许的请求头。例如： ```http Access-Control-Allow-Headers: Content-Type, Authorization ``` - **Access-Control-Allow-Credentials**：指示是否允许发送Cookie。如果设置为 `true`，则客户端必须在请求中包含 `withCredentials` 标志。例如： ```http Access-Control-Allow-Credentials: true ``` - **Access-Control-Max-Age**：预检请求的有效期，单位为秒。预检请求（Preflight Request）是在实际请求之前发送的OPTIONS请求，用于确认服务器是否支持跨域请求。例如： ```http Access-Control-Max-Age: 86400 ``` 通过这些响应头，服务器可以灵活地控制哪些来源、方法和请求头可以访问其资源。浏览器在接收到这些响应头后，会根据它们的值决定是否允许跨域请求。这种机制不仅提高了安全性，还使得跨域请求变得更加灵活和可控。 ## 二、Spring Boot中的CORS配置方法 ### 2.1 基于注解的配置方式 在Spring Boot中，基于注解的配置方式是一种简单且直观的方法，可以快速实现CORS的配置。通过在控制器类或方法上使用 `@CrossOrigin` 注解，开发者可以轻松地为特定的API接口启用跨域支持。 #### 2.1.1 全局配置 全局配置适用于所有控制器和方法，可以通过创建一个配置类并使用 `@Bean` 注解来定义一个 `WebMvcConfigurer` 实现类。以下是一个示例： ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("Content-Type", "Authorization") .allowCredentials(true) .maxAge(3600); } }; } } ``` 在这个配置中，`addMapping("/**")` 表示对所有路径启用CORS支持。`allowedOrigins` 指定了允许的来源，`allowedMethods` 和 `allowedHeaders` 分别指定了允许的HTTP方法和请求头。`allowCredentials` 设置为 `true` 表示允许发送Cookie，`maxAge` 设置了预检请求的有效期。 #### 2.1.2 局部配置 局部配置适用于特定的控制器或方法，可以通过在控制器类或方法上使用 `@CrossOrigin` 注解来实现。以下是一个示例： ```java import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController @CrossOrigin(origins = "http://example.com", methods = {RequestMethod.GET, RequestMethod.POST}) public class MyController { @GetMapping("/data") public String getData() { return "Hello, World!"; } } ``` 在这个示例中，`@CrossOrigin` 注解被应用于整个控制器类，表示该控制器下的所有方法都支持跨域请求。如果只需要为某个特定的方法启用CORS，可以在方法上单独使用 `@CrossOrigin` 注解。 ### 2.2 基于配置文件的配置方式 除了注解配置方式外，Spring Boot还支持通过配置文件来实现CORS的配置。这种方式更加灵活，可以在不修改代码的情况下调整CORS设置。 #### 2.2.1 application.properties 配置 在 `application.properties` 文件中，可以通过以下属性来配置CORS： ```properties spring.mvc.cors=true spring.mvc.cors.allowed-origins=http://example.com spring.mvc.cors.allowed-methods=GET,POST,PUT,DELETE spring.mvc.cors.allowed-headers=Content-Type,Authorization spring.mvc.cors.allow-credentials=true spring.mvc.cors.max-age=3600 ``` 这些属性分别对应了CORS响应头中的各个字段。`spring.mvc.cors=true` 表示启用CORS支持，`spring.mvc.cors.allowed-origins` 指定了允许的来源，`spring.mvc.cors.allowed-methods` 和 `spring.mvc.cors.allowed-headers` 分别指定了允许的HTTP方法和请求头。`spring.mvc.cors.allow-credentials` 设置为 `true` 表示允许发送Cookie，`spring.mvc.cors.max-age` 设置了预检请求的有效期。 #### 2.2.2 application.yml 配置 在 `application.yml` 文件中，可以通过以下配置来实现CORS： ```yaml spring: mvc: cors: enabled: true allowed-origins: "http://example.com" allowed-methods: "GET, POST, PUT, DELETE" allowed-headers: "Content-Type, Authorization" allow-credentials: true max-age: 3600 ``` 这些配置项与 `application.properties` 中的配置项一一对应，只是采用了YAML格式。通过这种方式，开发者可以在不修改代码的情况下灵活地调整CORS设置，从而更好地适应不同的应用场景。 无论是基于注解的配置方式还是基于配置文件的配置方式，Spring Boot都提供了强大的工具来帮助开发者解决跨域问题，确保Web应用的安全性和灵活性。希望本文能为读者提供有价值的参考，帮助大家在实际项目中顺利实现CORS配置。 ## 三、CORS配置的具体步骤 ### 3.1 创建CORS配置类 在Spring Boot中，创建CORS配置类是一种灵活且强大的方法，可以精确控制跨域请求的处理。通过创建一个配置类并实现 `WebMvcConfigurer` 接口，开发者可以自定义CORS策略，确保应用的安全性和功能性。以下是一个详细的步骤说明： 首先，创建一个新的Java类，命名为 `CorsConfig`，并在类上添加 `@Configuration` 注解，表明这是一个配置类。接着，实现 `WebMvcConfigurer` 接口，并重写 `addCorsMappings` 方法，以定义CORS策略。具体代码如下： ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("Content-Type", "Authorization") .allowCredentials(true) .maxAge(3600); } } ``` 在这个配置类中，`addMapping("/**")` 表示对所有路径启用CORS支持。`allowedOrigins` 指定了允许的来源，`allowedMethods` 和 `allowedHeaders` 分别指定了允许的HTTP方法和请求头。`allowCredentials` 设置为 `true` 表示允许发送Cookie，`maxAge` 设置了预检请求的有效期。 ### 3.2 配置CORS策略 配置CORS策略是确保应用能够正确处理跨域请求的关键步骤。通过在 `addCorsMappings` 方法中设置不同的参数，开发者可以灵活地控制哪些来源、方法和请求头可以访问资源。以下是一些常见的配置选项及其作用： - **allowedOrigins**：指定允许访问资源的来源。可以是一个具体的URL，也可以是通配符 `*` 表示允许所有来源。例如： ```java .allowedOrigins("http://example.com") ``` - **allowedMethods**：指定允许的HTTP方法。例如： ```java .allowedMethods("GET", "POST", "PUT", "DELETE") ``` - **allowedHeaders**：指定允许的请求头。例如： ```java .allowedHeaders("Content-Type", "Authorization") ``` - **allowCredentials**：指示是否允许发送Cookie。如果设置为 `true`，则客户端必须在请求中包含 `withCredentials` 标志。例如： ```java .allowCredentials(true) ``` - **maxAge**：预检请求的有效期，单位为秒。预检请求（Preflight Request）是在实际请求之前发送的OPTIONS请求，用于确认服务器是否支持跨域请求。例如： ```java .maxAge(3600) ``` 通过这些配置选项，开发者可以精确地控制CORS策略，确保应用的安全性和灵活性。 ### 3.3 注册CORS过滤器 除了通过配置类和注解来实现CORS配置外，Spring Boot还支持通过注册CORS过滤器来处理跨域请求。这种方式更加灵活，可以在不修改现有代码的情况下动态地调整CORS设置。以下是一个示例： 首先，创建一个新的Java类，命名为 `CorsFilter`，并在类上添加 `@Component` 注解，表明这是一个Spring管理的组件。接着，实现 `Filter` 接口，并在 `doFilter` 方法中添加CORS相关的逻辑。具体代码如下： ```java import org.springframework.stereotype.Component; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterRequest; import javax.servlet.FilterResponse; import javax.servlet.ServletException; import java.io.IOException; @Component public class CorsFilter implements Filter { @Override public void doFilter(FilterRequest request, FilterResponse response, FilterChain chain) throws IOException, ServletException { ((HttpServletResponse) response).addHeader("Access-Control-Allow-Origin", "http://example.com"); ((HttpServletResponse) response).addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); ((HttpServletResponse) response).addHeader("Access-Control-Allow-Headers", "Content-Type, Authorization"); ((HttpServletResponse) response).addHeader("Access-Control-Allow-Credentials", "true"); ((HttpServletResponse) response).addHeader("Access-Control-Max-Age", "3600"); chain.doFilter(request, response); } } ``` 在这个过滤器中，通过 `addHeader` 方法添加了CORS相关的响应头，确保浏览器能够正确处理跨域请求。`Access-Control-Allow-Origin` 指定了允许的来源，`Access-Control-Allow-Methods` 和 `Access-Control-Allow-Headers` 分别指定了允许的HTTP方法和请求头。`Access-Control-Allow-Credentials` 设置为 `true` 表示允许发送Cookie，`Access-Control-Max-Age` 设置了预检请求的有效期。 通过注册CORS过滤器，开发者可以在不修改现有代码的情况下灵活地调整CORS设置，从而更好地适应不同的应用场景。希望本文能为读者提供有价值的参考，帮助大家在实际项目中顺利实现CORS配置。 ## 四、CORS配置的最佳实践 ### 4.1 CORS与安全性 在现代Web应用中，安全性始终是开发者关注的重点。CORS（跨源资源共享）虽然为跨域请求提供了便利，但同时也带来了潜在的安全风险。因此，在配置CORS时，必须谨慎考虑安全性问题，确保应用不会因为不当的CORS配置而受到攻击。 首先，`Access-Control-Allow-Origin` 是CORS中最关键的响应头之一，它决定了哪些来源可以访问资源。为了提高安全性，建议不要使用通配符 `*`，而是明确指定允许的来源。例如： ```java .allowedOrigins("http://example.com") ``` 这样可以避免恶意网站通过伪造请求来访问敏感数据。此外，如果应用需要支持发送Cookie，必须将 `allowCredentials` 设置为 `true`，并且 `Access-Control-Allow-Origin` 不能使用通配符。这是因为浏览器在发送带有Cookie的请求时，会严格检查来源是否匹配。 其次，`Access-Control-Allow-Methods` 和 `Access-Control-Allow-Headers` 也应谨慎设置。只允许必要的HTTP方法和请求头，可以减少攻击面。例如： ```java .allowedMethods("GET", "POST") .allowedHeaders("Content-Type", "Authorization") ``` 最后，预检请求（Preflight Request）是CORS中的一种安全机制，用于在实际请求之前确认服务器是否支持跨域请求。通过设置 `maxAge`，可以减少预检请求的频率，提高性能。例如： ```java .maxAge(3600) ``` 总之，合理的CORS配置不仅能够满足业务需求，还能有效提升应用的安全性，保护用户数据不受威胁。 ### 4.2 优化CORS性能 在实际应用中，CORS配置不仅关系到安全性，还直接影响到应用的性能。通过优化CORS配置，可以显著提升应用的响应速度和用户体验。 首先，合理设置 `maxAge` 可以减少预检请求的频率。预检请求是一种OPTIONS请求，用于确认服务器是否支持跨域请求。频繁的预检请求会增加服务器的负担，影响性能。通过设置较长的 `maxAge`，可以缓存预检请求的结果，减少不必要的网络通信。例如： ```java .maxAge(86400) ``` 这表示预检请求的结果将在客户端缓存一天，有效减少了预检请求的次数。 其次，避免不必要的CORS响应头可以简化HTTP响应，提高传输效率。例如，如果应用不需要支持发送Cookie，可以将 `allowCredentials` 设置为 `false`，从而省去相关的响应头。同样，只允许必要的HTTP方法和请求头，可以减少响应头的大小，提高传输速度。例如： ```java .allowedMethods("GET", "POST") .allowedHeaders("Content-Type") ``` 此外，使用CDN（内容分发网络）可以进一步优化CORS性能。CDN可以将静态资源缓存到全球各地的节点，减少用户的访问延迟。通过在CDN中配置CORS，可以确保跨域请求在最短的时间内得到响应，提升用户体验。 总之，通过合理设置 `maxAge`、避免不必要的响应头以及使用CDN，可以显著优化CORS性能，提升应用的整体表现。 ### 4.3 处理CORS异常 尽管CORS为跨域请求提供了便利，但在实际应用中，仍然可能会遇到各种异常情况。及时处理这些异常，可以确保应用的稳定性和可靠性。 首先，常见的CORS异常包括预检请求失败、响应头不匹配等。预检请求失败通常是由于服务器未正确配置CORS响应头导致的。例如，如果服务器未设置 `Access-Control-Allow-Methods`，浏览器将拒绝发送实际请求。因此，确保服务器正确配置CORS响应头是处理异常的第一步。 其次，响应头不匹配也是常见的CORS异常之一。例如，如果客户端请求中包含 `Authorization` 头，但服务器未设置 `Access-Control-Allow-Headers`，浏览器将拒绝请求。为了避免这种情况，建议在配置CORS时，仔细检查每个响应头的设置，确保它们与客户端请求一致。 此外，使用日志记录和监控工具可以帮助开发者及时发现和处理CORS异常。通过记录每次请求的详细信息，可以快速定位问题所在。例如，可以使用Spring Boot的 `@RestControllerAdvice` 注解来捕获和处理CORS相关的异常。以下是一个示例： ```java import org.springframework.http.HttpStatus; import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.annotation.ExceptionHandler; @ControllerAdvice public class CorsExceptionHandler { @ExceptionHandler(CorsException.class) public ResponseEntity<String> handleCorsException(CorsException ex) { return new ResponseEntity<>("CORS error: " + ex.getMessage(), HttpStatus.BAD_REQUEST); } } ``` 在这个示例中，`handleCorsException` 方法捕获了 `CorsException` 异常，并返回一个包含错误信息的HTTP响应。通过这种方式，可以确保客户端能够及时了解CORS异常的原因，采取相应的措施。 总之，通过合理配置CORS响应头、使用日志记录和监控工具以及捕获和处理异常，可以有效应对CORS中的各种问题，确保应用的稳定性和可靠性。 ## 五、CORS在Spring Boot应用中的常见问题 ### 5.1 CORS配置错误的原因分析 在实际开发过程中，CORS配置错误是常见的问题之一。这些问题不仅会影响应用的功能，还会导致安全漏洞。以下是一些常见的CORS配置错误及其原因分析： 1. **错误的 `Access-Control-Allow-Origin` 设置**： - **原因**：最常见的错误是将 `Access-Control-Allow-Origin` 设置为通配符 `*`，这会导致安全风险，因为任何来源都可以访问资源。此外，如果需要支持发送Cookie，`Access-Control-Allow-Origin` 不能使用通配符，否则浏览器会拒绝请求。 - **解决方案**：明确指定允许的来源，例如 `.allowedOrigins("http://example.com")`。 2. **缺少必要的响应头**： - **原因**：如果服务器未设置 `Access-Control-Allow-Methods` 或 `Access-Control-Allow-Headers`，浏览器将拒绝发送实际请求。这通常发生在预检请求（Preflight Request）阶段。 - **解决方案**：确保在CORS配置中包含所有必要的响应头，例如 `.allowedMethods("GET", "POST", "PUT", "DELETE")` 和 `.allowedHeaders("Content-Type", "Authorization")`。 3. ** `Access-Control-Allow-Credentials` 设置错误**： - **原因**：如果需要支持发送Cookie，必须将 `Access-Control-Allow-Credentials` 设置为 `true`，并且 `Access-Control-Allow-Origin` 不能使用通配符。否则，浏览器会拒绝请求。 - **解决方案**：确保在CORS配置中正确设置 `allowCredentials`，例如 `.allowCredentials(true)`。 4. **预检请求失败**： - **原因**：预检请求（Preflight Request）是一种OPTIONS请求，用于确认服务器是否支持跨域请求。如果服务器未正确处理预检请求，浏览器将拒绝发送实际请求。 - **解决方案**：确保服务器能够正确处理OPTIONS请求，并返回正确的CORS响应头。 ### 5.2 调试与修复CORS问题 调试和修复CORS问题是确保应用正常运行的重要步骤。以下是一些实用的调试方法和修复技巧： 1. **使用浏览器开发者工具**： - **方法**：打开浏览器的开发者工具（通常按F12键），切换到“网络”标签页，查看请求和响应的详细信息。特别注意CORS相关的响应头，如 `Access-Control-Allow-Origin` 和 `Access-Control-Allow-Methods`。 - **效果**：通过查看请求和响应的详细信息，可以快速定位CORS配置错误的原因。 2. **日志记录和监控**： - **方法**：在服务器端添加日志记录，记录每次请求的详细信息，包括请求头和响应头。使用监控工具（如Spring Boot Actuator）来实时监控应用的状态。 - **效果**：通过日志记录和监控，可以及时发现和处理CORS相关的问题，确保应用的稳定性和可靠性。 3. **单元测试和集成测试**： - **方法**：编写单元测试和集成测试，模拟跨域请求，验证CORS配置是否正确。使用测试框架（如JUnit）和Mockito来模拟请求和响应。 - **效果**：通过测试，可以确保CORS配置在不同场景下都能正常工作，减少生产环境中的问题。 ### 5.3 跨域资源共享的最佳实践 为了确保CORS配置的安全性和性能，以下是一些最佳实践： 1. **明确指定允许的来源**： - **实践**：不要使用通配符 `*`，而是明确指定允许的来源。例如，`.allowedOrigins("http://example.com")`。这可以减少安全风险，确保只有信任的来源可以访问资源。 2. **最小化暴露的HTTP方法和请求头**： - **实践**：只允许必要的HTTP方法和请求头，减少攻击面。例如，`.allowedMethods("GET", "POST")` 和 `.allowedHeaders("Content-Type", "Authorization")`。 3. **合理设置 `maxAge`**： - **实践**：通过设置较长的 `maxAge`，可以减少预检请求的频率，提高性能。例如，`.maxAge(86400)` 表示预检请求的结果将在客户端缓存一天。 4. **使用CDN优化性能**： - **实践**：通过在CDN中配置CORS，可以确保跨域请求在最短的时间内得到响应，提升用户体验。CDN可以将静态资源缓存到全球各地的节点，减少用户的访问延迟。 5. **定期审查和更新CORS配置**： - **实践**：随着应用的发展和需求的变化，定期审查和更新CORS配置是非常重要的。确保CORS配置始终符合最新的安全标准和业务需求。 通过遵循这些最佳实践，开发者可以确保CORS配置既安全又高效，为用户提供更好的体验。希望本文能为读者提供有价值的参考，帮助大家在实际项目中顺利实现CORS配置。 ## 六、案例分析与实战 ### 6.1 CORS配置案例分析 在实际项目中，CORS配置的正确与否直接影响到应用的可用性和安全性。通过具体的案例分析，我们可以更深入地理解如何在Spring Boot中配置CORS，以确保跨域请求的顺利进行。 #### 案例一：全局CORS配置 假设我们有一个简单的Spring Boot应用，需要为所有的API接口启用CORS支持。我们可以通过创建一个配置类来实现全局CORS配置。以下是一个具体的示例： ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("Content-Type", "Authorization") .allowCredentials(true) .maxAge(3600); } }; } } ``` 在这个配置中，`addMapping("/**")` 表示对所有路径启用CORS支持。`allowedOrigins` 指定了允许的来源，`allowedMethods` 和 `allowedHeaders` 分别指定了允许的HTTP方法和请求头。`allowCredentials` 设置为 `true` 表示允许发送Cookie，`maxAge` 设置了预检请求的有效期。 #### 案例二：局部CORS配置 有时候，我们只需要为特定的控制器或方法启用CORS支持。这时，可以使用 `@CrossOrigin` 注解来实现局部配置。以下是一个具体的示例： ```java import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController @CrossOrigin(origins = "http://example.com", methods = {RequestMethod.GET, RequestMethod.POST}) public class MyController { @GetMapping("/data") public String getData() { return "Hello, World!"; } } ``` 在这个示例中，`@CrossOrigin` 注解被应用于整个控制器类，表示该控制器下的所有方法都支持跨域请求。如果只需要为某个特定的方法启用CORS，可以在方法上单独使用 `@CrossOrigin` 注解。 #### 案例三：基于配置文件的CORS配置 除了注解配置方式外，Spring Boot还支持通过配置文件来实现CORS的配置。这种方式更加灵活，可以在不修改代码的情况下调整CORS设置。以下是一个具体的示例： 在 `application.properties` 文件中，可以通过以下属性来配置CORS： ```properties spring.mvc.cors=true spring.mvc.cors.allowed-origins=http://example.com spring.mvc.cors.allowed-methods=GET,POST,PUT,DELETE spring.mvc.cors.allowed-headers=Content-Type,Authorization spring.mvc.cors.allow-credentials=true spring.mvc.cors.max-age=3600 ``` 这些属性分别对应了CORS响应头中的各个字段。`spring.mvc.cors=true` 表示启用CORS支持，`spring.mvc.cors.allowed-origins` 指定了允许的来源，`spring.mvc.cors.allowed-methods` 和 `spring.mvc.cors.allowed-headers` 分别指定了允许的HTTP方法和请求头。`spring.mvc.cors.allow-credentials` 设置为 `true` 表示允许发送Cookie，`spring.mvc.cors.max-age` 设置了预检请求的有效期。 ### 6.2 跨域请求示例代码解析 为了更好地理解CORS配置的实际效果，我们可以通过一个具体的跨域请求示例来解析其背后的机制。 #### 示例一：前端发起跨域请求 假设我们有一个前端应用，需要从 `http://example.com` 发起一个跨域请求到 `http://api.example.com`。以下是一个使用JavaScript的示例代码： ```javascript fetch('http://api.example.com/data', { method: 'GET', headers: { 'Content-Type': 'application/json', 'Authorization': 'Bearer your-token' }, credentials: 'include' }) .then(response => response.json()) .then(data => console.log(data)) .catch(error => console.error('Error:', error)); ``` 在这个示例中，`fetch` 函数用于发起跨域请求。`credentials: 'include'` 表示允许发送Cookie。`headers` 中包含了 `Content-Type` 和 `Authorization` 请求头。 #### 示例二：后端处理跨域请求 在后端，我们需要确保CORS配置正确，以便处理前端的跨域请求。以下是一个使用Spring Boot的示例代码： ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/data") .allowedOrigins("http://example.com") .allowedMethods("GET") .allowedHeaders("Content-Type", "Authorization") .allowCredentials(true) .maxAge(3600); } }; } } ``` 在这个配置中，`addMapping("/data")` 表示对 `/data` 路径启用CORS支持。`allowedOrigins` 指定了允许的来源，`allowedMethods` 和 `allowedHeaders` 分别指定了允许的HTTP方法和请求头。`allowCredentials` 设置为 `true` 表示允许发送Cookie，`maxAge` 设置了预检请求的有效期。 通过以上示例，我们可以看到，前端和后端的CORS配置是相辅相成的。前端需要正确设置请求头和凭证，而后端需要正确配置CORS响应头，以确保跨域请求的顺利进行。希望这些示例能帮助读者更好地理解和应用CORS配置，提升Web应用的安全性和灵活性。 ## 七、总结 本文详细介绍了如何在Spring Boot框架中配置CORS（跨源资源共享），以允许跨域请求。通过解释同源政策和CORS的工作原理，我们明确了跨域请求的重要性及其在现代Web开发中的应用。文章详细探讨了Spring Boot中基于注解和配置文件的CORS配置方法，包括全局配置和局部配置。此外，还介绍了通过创建CORS配置类和注册CORS过滤器来实现更灵活的跨域请求处理。 在最佳实践部分，我们强调了CORS配置的安全性和性能优化，提供了明确指定允许的来源、最小化暴露的HTTP方法和请求头、合理设置 `maxAge` 以及使用CDN等建议。通过案例分析和示例代码，读者可以更直观地理解CORS配置的实际应用。 总之，合理的CORS配置不仅能够满足业务需求，还能有效提升应用的安全性和性能。希望本文能为读者提供有价值的参考，帮助大家在实际项目中顺利实现CORS配置。