随着前后端分离架构的普及，跨域资源共享（Cross-Origin Resource Sharing, CORS）问题成为了许多开发者必须面对的一个挑战。当Web浏览器尝试从一个源加载资源到另一个不同的源时，出于安全考虑，它会实施同源策略，这可能会阻止某些请求。为了确保API可以被不同源的前端应用程序所访问，我们需要在后端实现适当的CORS支持。本文将详细介绍如何在Spring Boot应用中配置和解决CORS问题。

一、什么是跨域？

  跨域是指一个网页通过JavaScript发起请求到与该页面所在的服务器不同的域名、协议或端口。由于浏览器的安全机制，通常不允许这样的操作，除非目标服务器明确允许这些跨域请求。

二、CORS 的工作原理

  CORS是一种HTTP头部字段规范，它定义了服务器应该如何响应来自不同源的请求。具体来说，它包括以下几个关键步骤：

1. 简单请求：对于GET、HEAD、POST方法且Content-Type为application/x-www-form-urlencoded、multipart/form-data、text/plain之一的请求，浏览器直接发送请求至服务器，并携带必要的Origin头。
2. 预检请求：对于其他类型的方法或带有自定义头部信息的请求，在实际请求之前，浏览器会先发送一个OPTIONS请求（预检请求），询问服务器是否允许后续的实际请求。服务器需要回应特定的CORS相关头部以表明其接受性。
3. 实际请求：如果预检请求得到肯定答复，则浏览器会继续发送实际请求。

三、在 Spring Boot 中配置 CORS

  Spring Boot提供了多种方式来配置CORS，每种方式都有其适用场景和特点。以下是几种常见的方法及其优缺点分析。

3.1 使用 @CrossOrigin 注解

  这是最简单的方式之一，适用于单个控制器或某个特定的端点。只需要在控制器类或方法上添加@CrossOrigin注解即可快速启用CORS支持。

@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "http://example.com", maxAge = 3600)
public class MyController {@GetMapping("/resource")public ResponseEntity<String> getResource() {return new ResponseEntity<>("Hello World!", HttpStatus.OK);}
}

优点：易于理解和使用，适合小型项目或对单一端点进行CORS配置。

缺点：不够灵活，难以全局统一管理，也不便于处理复杂的跨域需求。

3.2 实现 WebMvcConfigurer 接口

  这种方法允许您更细粒度地控制CORS行为，可以通过重写addCorsMappings方法来设置全局或基于路径的CORS规则。

@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/**") // 全局配置.allowedOrigins("http://example.com").allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS").allowedHeaders("*").allowCredentials(true).maxAge(3600);// 或者针对特定路径配置// registry.addMapping("/api/v1/**")//        .allowedOrigins("http://anotherdomain.com");}
}

优点：提供更高的灵活性，能够满足大多数项目的跨域需求；可以在一处集中管理所有CORS配置。

缺点：相对复杂一些，尤其是当有多个不同规则时可能不易维护。

3.3 创建并注册 CorsFilter Bean

  对于那些需要更加精细控制的应用程序，或者遇到了WebMvcConfigurer配置不起作用的问题，可以考虑创建并注册一个CorsFilter Bean。这种方式可以让CORS过滤器更早介入请求处理过程，确保所有跨域相关头部信息都被正确添加到响应中。

@Bean
public CorsFilter corsFilter() {UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();CorsConfiguration config = new CorsConfiguration();config.setAllowCredentials(true);// 设置访问源地址config.addAllowedOrigin("*");// 设置访问源请求头config.addAllowedHeader("*");// 设置访问源请求方法config.addAllowedMethod("*");// 对接口配置跨域设置source.registerCorsConfiguration("/**", config);return new CorsFilter(source);
}

注意：对于Spring Security中的跨域问题解决经常使用这种方式。

优点：提供了最大的灵活性和最强的控制力；可以与其他过滤器协同工作，避免受到请求处理链条的影响。

缺点：代码量稍多，配置相对繁琐，但一旦设定好之后，性能和稳定性都很好。

四、最佳实践

  在选择具体的CORS配置方式时，请根据您的项目规模和个人偏好做出决定。以下是一些建议，可以帮助您更好地管理和优化CORS配置：

1. 保持简洁：尽量减少不必要的配置项，只开放确实需要的来源、方法和头部信息。过多的通配符（*）虽然方便，但也增加了潜在的安全风险。
2. 条件化配置：利用Spring的条件注解（如@ConditionalOnProperty）根据环境变量动态调整CORS策略。例如，在开发环境中允许所有来源，而在生产环境中严格限制。
3. 测试您的配置：务必编写单元测试或集成测试来验证CORS配置是否按预期工作。这不仅能帮助您及时发现潜在的问题，还可以为未来的变更提供信心保障。
4. 缓存预检请求：适当设置Access-Control-Max-Age响应头可以有效减少不必要的HTTP往返次数，进而提升性能。例如，将maxAge设置为较长的时间（如一天），意味着浏览器可以在接下来的一段时间内缓存预检请求的结果。
5. 安全性优先：无论何时配置CORS或其他网络相关的设置，请始终牢记安全性的重要性。对于凭证共享（allowCredentials(true)），应指定具体的来源域名，而不是使用通配符，以此防止潜在的安全风险。