当前位置：首页 > news >正文

快速解决Spring Boot跨域困扰：使用CORS实现无缝跨域支持

news 2026/3/27 22:46:37

跨域问题

什么是跨域？

跨域（Cross-Origin Issue）的存在是因为浏览器的安全限制，它防止恶意网站利用跨域请求来获取用户的敏感信息或执行恶意操作。浏览器通过实施同源策略来限制网页在不同源之间进行资源访问或交互的情况。当一个网页的协议、域名、或端口与当前页面的协议、域名、或端口不一致时，就会发生跨域问题。

跨域问题通常涉及以下情况：

跨域AJAX请求：当通过XMLHttpRequest或Fetch API发送AJAX请求时，如果请求的目标URL与当前页面的协议、域名或端口不一致，就会被认为是跨域请求。
跨域资源共享（CORS）问题：在AJAX请求中，如果目标服务器没有正确配置跨域资源共享的响应头部信息，则浏览器会阻止通过AJAX获取跨域资源。
跨域脚本攻击（XSS）问题：当一个网页加载了恶意脚本并在其他网页的上下文中执行时，就会发生跨域脚本攻击。

什么是浏览器的同源策略？

浏览器的同源策略（Same-Origin Policy）是一种安全机制，用于限制在浏览器中加载的网页从获取其他来源的资源或与其他来源的网页进行交互。它是为了防止恶意网站进行跨站点脚本攻击（Cross-Site Scripting，XSS）、跨站请求伪造（Cross-Site Request Forgery，CSRF）等安全威胁而设计的。

同源策略要求请求必须满足以下三个条件才能被认为是同源：

协议相同：两个页面的协议必须相同（例如，都是http://或都是https://）。
域名相同：两个页面的域名必须相同（例如，www.example.com 和 example.com 被视为不同域名）。
端口相同：如果指定了端口号，那么两个页面的端口号必须相同。

当发生跨域请求时，浏览器会阻止以下操作：

跨域的 AJAX 请求（XMLHttpRequest 或 Fetch API）。
跨域的 Cookie、LocalStorage 或 IndexDB 存储访问。
跨域的 DOM 操作，例如获取其他域下的元素或修改其样式。
跨域的嵌入 iframe 元素之间的交互。

例如，如果一个网页在 http://example.com 的环境下运行，那么它只能与 http://example.com 或者 https://example.com 相同的协议、域名和端口的资源进行交互。如果尝试访问不同源的资源，浏览器会阻止这些操作。

如何解决跨域问题？

解决跨域问题有多种方法，可以根据具体的场景选择适合的解决方案，常用方法如下：

JSONP（JSON with Padding）：JSONP 利用 <script> 标签没有跨域限制的特点，在目标网页中通过动态创建 <script> 标签来加载跨域的 JavaScript 文件，并在 URL 参数中传递回调函数的名称，使得目标网页将数据作为函数参数传递给回调函数。JSONP 只适用于 GET 请求。
CORS（Cross-Origin Resource Sharing）：CORS 是一种在服务端设置响应头部信息的机制，允许特定的源进行跨域访问。通过在目标服务器的响应中设置合适的 CORS 头部，如 Access-Control-Allow-Origin，Access-Control-Allow-Methods，Access-Control-Allow-Headers 等，可以控制允许的跨域访问行为。
代理服务器：通过在自己的服务器上设置一个代理接口，将跨域请求发送到目标服务器，再将获取到的结果返回给前端。前端只需要与自己的服务器进行通信，避免了直接与目标服务器跨域通信的问题。
WebSocket：WebSocket 协议本身不受同源策略限制，可以在浏览器和服务器之间建立持久连接，实现实时双向通信。使用 WebSocket 可以规避跨域问题。
postMessage API：如果页面之间需要进行跨域通信，可以使用 postMessage API，在不同窗口或 iframe 间传递消息。这种方法适用于不同窗口、不同域的页面之间的通信需求。

SpringBoot 解决跨域问题

注：环境中出现跨域问题的原因有很多，解决方法并不相同，根据具体的场景选择适合的解决方案即可。

方式一：@CrossOrigin 注解

在 SpringBoot 中，在 Controller 类上使用 @CrossOrigin 注解解决跨域问题：

@CrossOrigin
@RestController
public class LoginController {@PostMapping("/login")public User login(@RequestBody User user){return user;}}

方式二：CorsConfig.java 配置类（常用）

在项目中创建一个名为 CorsConfig.java 配置类来启用 CORS 支持，解决跨域问题：

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class CorsConfig implements WebMvcConfigurer {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/**") // 允许所有URL.allowedOrigins("*") // 设置允许跨域请求的源，这里设置为允许所有源.allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的请求方法.allowedHeaders("*") // 允许的请求头.allowCredentials(true) // 允许携带认证信息（如cookies）.maxAge(3600); // 预检请求的缓存时间（单位：秒）}
}

快速解决Spring Boot跨域困扰：使用CORS实现无缝跨域支持

跨域问题

什么是跨域？

什么是浏览器的同源策略？

如何解决跨域问题？

SpringBoot 解决跨域问题

方式一：@CrossOrigin 注解

方式二：CorsConfig.java 配置类（常用）

相关文章：

快速解决Spring Boot跨域困扰：使用CORS实现无缝跨域支持

【【萌新的STM32学习-13之GPIO寄存器的用法】】

Android开发基础知识总结（一）初识安卓Android Studio

常见的网络设备有哪些？分别有什么作用？

斗鱼财报盈利的背后：左手艳舞、右手擦边

布隆过滤器

element-ui中二次封装一个带select的form组件

07.利用Redis实现点赞排行榜功能

【前端vue升级】vue2+js+elementUI升级为vue3+ts+elementUI plus

多维时序 | MATLAB实现SCNGO-BiLSTM-Attention多变量时间序列预测

go-test

假设你新换了电脑，如何不用U盘的情况下实现软件文件转移？

聊聊 Docker

运行软件mfc140u.dll丢失怎么办？mfc140u.dll的三个修复方法

神经网络基础-神经网络补充概念-54-softmax回归

米尔瑞萨RZ/G2L开发板-02 ffmpeg的使用和RTMP直播

基于swing的在线考试系统java jsp线上试卷问答mysql源代码

C# 读取pcd点云文件数据

.NET CORE Api 上传excel解析并生成错误excel下载

数据结构，二叉树，前中后序遍历

保姆级教程：用Docker快速搭建一个可复现的Hive测试环境（专治各种启动报错）

让老Mac重获新生的魔法：OpenCore Legacy Patcher如何持续守护你的设备

ECharts Gallery弃用后，这4个替代网站让你轻松搞定数据可视化（附优缺点对比）

python基于微信小程序的旅游攻略分享平台

AI短剧的风口来了！无需编程，全程技术支持，助你快速贴牌部署私有化系统

告别树莓派溢价！Radxa ROCK 5A 8GB版开箱实测，652元真香体验与避坑指南

Qwen-Rapid-AIO终极教程：8秒完成专业级AI图像编辑的完整指南

掌握 AgentScope 与 Spring AI Alibaba：大模型多智能体实践指南（收藏版）

2026年鱼生专用花生油：哪些品牌值得选？

GitHub Desktop汉化终极指南：如何让英文界面瞬间变成中文