Spring Boot 实战：解决Ajax与自定义headers跨域问题

"这篇文档详细介绍了在Spring Boot应用中如何优雅地解决Ajax请求结合自定义headers的跨域问题。文档内容分为两个主要部分：普通跨域请求解决方案和处理Ajax自定义headers的跨域请求。" 在Spring Boot中，跨域问题是由于浏览器的同源策略限制，使得不同源的HTTP请求不能直接通信。为了解决这个问题，Spring Boot提供了一些内置机制来允许跨域请求。 1. 普通跨域请求解决方案： - 单独接口处理：可以在控制器的方法上使用`@CrossOrigin`注解，指定允许跨域的源，如`@CrossOrigin(origins = "http://127.0.0.1:8020", maxAge = 3600)`。`origins`参数定义了允许请求的源地址，`maxAge`参数指定了预检请求的有效期，减少不必要的预检请求。 - 全局配置：为了使所有接口都允许跨域请求，可以创建一个配置类，继承`WebMvcConfigurerAdapter`（Spring Boot 2.x后应使用`WebMvcConfigurationSupport`），然后重写`addCorsMappings`方法，添加全局的CORS配置。 2. Ajax自定义headers的跨域请求： 当Ajax请求包含非标准HTTP方法（如PUT、DELETE）、非默认的Content-Type（如application/json）或者自定义headers时，浏览器会先发送一个OPTIONS预检请求，以确认服务器是否允许这样的请求。这是因为浏览器的安全策略，防止恶意脚本发起不安全的请求。 如果OPTIONS预检请求返回500错误，可能是因为服务器没有正确处理这个预检请求，比如在验证headers中的自定义字段（如token）时，由于OPTIONS请求通常不携带这些值，导致验证失败。 解决这个问题的方法是在全局CORS配置中，确保处理OPTIONS请求，并允许特定的自定义headers。例如，可以通过以下方式配置： ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/") .allowedOrigins("*") // 可以替换为具体的域名 .allowedMethods("*") // 允许所有HTTP方法 .allowedHeaders("*") // 允许所有headers，也可以指定特定的headers .allowCredentials(true) // 允许携带cookies .maxAge(3600); // 预检请求的有效时间 } } ``` 这样设置后，Spring Boot应用将允许来自任何源的Ajax请求，包括自定义headers，且能正确处理OPTIONS预检请求。请注意，生产环境中，`allowedOrigins`、`allowedMethods`和`allowedHeaders`通常不应该设置为`*`，而是应该根据实际需求进行严格的限制，以保障应用安全。