Spring Boot CORS详解：跨域问题与实战示例

Spring Boot 通过CORS实现跨域问题是一个常见的开发需求，尤其是在前后端分离的应用场景中。CORS (Cross-Origin Resource Sharing) 是一种浏览器内置的安全策略，用于限制来自不同源的网络请求，确保数据的安全性和隐私。当用户在浏览器中访问一个网站时，同源策略会阻止来自其他域名的脚本访问该网站的服务器资源，这在开发过程中可能会导致跨域问题。 为了在Spring Boot项目中启用CORS，我们需要了解以下几个关键概念： 1. 同源策略：这是一个由Netscape提出的浏览器安全机制，确保了用户数据的安全。只有协议、域名和端口号完全一致的资源之间才能正常交互，这在设计之初是为了防止恶意网站获取用户的敏感信息。然而，这种策略在实际应用中有时会成为障碍，尤其是在API服务需要开放给外部客户端时。 2. JSONP的局限性：早期的跨域解决方案之一是JSONP（JSON with Padding），它利用script标签的src属性可以跨域的特性，但只能支持GET请求，且存在安全隐患。JSONP对于POST等其他请求类型的支持不足，无法满足现代Web应用的需求。 3. CORS标准：CORS是W3C制定的标准，它允许服务器声明哪些源（即域名）可以访问其资源，从而绕过同源策略的限制。CORS支持多种HTTP方法（包括GET、POST等），并且可以设置更精细的访问控制，比如允许特定的头信息、cookies等。 在Spring Boot中实现CORS，可以通过以下步骤操作： 1. 配置CORS过滤器：在Spring Boot项目中，通常会在WebMvcConfigurer接口中创建一个CORSConfiguration对象，定义允许的跨域来源、方法、头信息等。例如： ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/") // 允许所有路径跨域 .allowedOrigins("*") // 允许所有源 .allowedMethods("*") // 允许所有HTTP方法 .allowCredentials(true) // 是否允许发送凭据 .allowedHeaders("*") // 允许所有头部信息 .maxAge(3600); // 缓存策略 } } ``` 2. 启用CORS全局或针对特定接口：如果只想对部分接口开启CORS，可以在Controller层显式添加@CrossOrigin注解。 3. 测试跨域：在客户端（如前端HTML页面），使用Ajax请求访问Spring Boot项目，例如使用jQuery的$.ajax()函数，设置正确的URL和跨域相关参数。 通过以上步骤，Spring Boot项目就能够有效地处理跨域问题，使得前后端能够安全地通信，扩展了API服务的可用性。在实际开发中，根据项目需求灵活配置CORS策略，既能保障安全，又能提升用户体验。