首页 > 文章 > java教程

Java解决CORS跨域问题的正确方法

时间：2025-11-04 20:55:22 353浏览收藏

## Java 解决跨域 CORS 问题的正确方法在前后端分离架构中，Java 解决跨域资源共享（CORS）问题至关重要。本文深入探讨了配置 CORS 策略的标准方法，旨在帮助开发者正确处理跨域请求。文章首先介绍了使用过滤器（Filter）设置响应头以处理预检请求的方法。其次，阐述了在 Spring Boot 中利用 `@CrossOrigin` 注解局部启用跨域的方法。更推荐的方式是通过实现 `WebMvcConfigurer` 接口进行全局 CORS 配置，详细讲解了如何指定路径、允许的源、方法、头部以及凭证。最后，针对集成 Spring Security 的项目，强调了在安全配置中启用 CORS 并定义 `CorsConfigurationSource` 的必要性，以确保 CORS 规则生效。在生产环境中，建议采用全局配置与 Spring Security 集成的方式，实现安全且易于维护的跨域解决方案。

标准做法是配置CORS策略以解决跨域问题。1. 使用Filter设置响应头处理预检请求；2. Spring Boot中可用@CrossOrigin注解局部启用跨域；3. 推荐通过WebMvcConfigurer实现全局CORS配置，指定路径、允许的源、方法、头部及凭证；4. 若集成Spring Security，需在安全配置中启用cors并定义CorsConfigurationSource，确保CORS规则生效。生产环境建议采用全局配置与Security集成方式。

java怎么解决跨域CORS问题配置跨域访问策略的标准做法

Java 解决跨域（CORS）问题的标准做法是通过配置 CORS 策略，允许浏览器从不同源（协议、域名、端口）向后端服务发起请求。最常见的场景是在前后端分离架构中，前端运行在本地开发服务器（如 http://localhost:3000），而后端 API 运行在另一个端口或域名上（如 http://localhost:8080）。

1. 使用过滤器（Filter）配置 CORS

在基于 Servlet 的 Java Web 应用中（如 Spring 或原生 JavaEE），可以通过实现 javax.servlet.Filter 来统一处理跨域请求。

示例代码：

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {
<pre class="brush:java;toolbar:false;">@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) res;
    HttpServletRequest request = (HttpServletRequest) req;

    response.setHeader("Access-Control-Allow-Origin", "http://localhost:3000"); // 允许的前端域名
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers",
            "Origin, X-Requested-With, Content-Type, Accept, Authorization");

    if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
        response.setStatus(HttpServletResponse.SC_OK);
    } else {
        chain.doFilter(req, res);
    }
}

}

这个过滤器会拦截所有请求，设置必要的响应头，并对预检请求（OPTIONS）直接返回成功状态。

2. Spring Boot 中使用 @CrossOrigin 注解

如果你使用的是 Spring Boot，可以在 Controller 或具体方法上使用 @CrossOrigin 注解快速启用跨域支持。

示例：

@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "http://localhost:3000")
public class UserController {
<pre class="brush:java;toolbar:false;">@GetMapping("/users")
public List<User> getUsers() {
    return userService.getAll();
}

}

这种方式适合局部控制，但不适合全局统一管理。

3. 配置全局 CORS 策略（推荐方式）

在 Spring Boot 中，最标准的做法是通过实现 WebMvcConfigurer 接口来配置全局 CORS 策略。

示例配置类：

@Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
<pre class="brush:java;toolbar:false;">@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/api/**")
            .allowedOriginPatterns("http://localhost:3000") // 支持多个前端地址
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            .allowedHeaders("*")
            .allowCredentials(true)
            .maxAge(3600);
}

}

说明：

addMapping：指定哪些路径启用 CORS，例如 /api/** 表示所有 API 路径。
allowedOriginPatterns：允许的源，可使用 patterns 匹配多个域（Spring 5.3+ 推荐使用 patterns 替代 origins）。
allowCredentials(true)：允许携带 Cookie 或认证信息，此时 origin 不能为 "*"。
maxAge：预检请求缓存时间，减少重复 OPTIONS 请求。

4. 使用 Security 框架时的额外配置

如果项目集成了 Spring Security，需要确保安全配置不会覆盖 CORS 设置。

在 Security 配置中显式允许 CORS：

@Configuration
@EnableWebSecurity
public class SecurityConfig {
<pre class="brush:java;toolbar:false;">@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.cors().and() // 启用 cors 配置
        .csrf().disable()
        .authorizeRequests(...);
    return http.build();
}

@Bean
public CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOriginPatterns(Arrays.asList("http://localhost:3000"));
    configuration.setAllowedMethods(Arrays.asList("*"));
    configuration.setAllowCredentials(true);
    configuration.setAllowedHeaders(Arrays.asList("*"));
    configuration.setMaxAge(3600L);

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/api/**", configuration);
    return source;
}

}

这样可以确保 Spring Security 正确应用你定义的 CORS 策略。

基本上就这些。选择哪种方式取决于你的技术栈和需求复杂度。对于生产项目，推荐使用全局配置 + Security 集成的方式，既安全又易于维护。

今天关于《Java解决CORS跨域问题的正确方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！