标准做法是配置CORS策略以解决跨域问题。1. 使用Filter设置响应头处理预检请求;2. Spring Boot中可用@CrossOrigin注解局部启用跨域;3. 推荐通过WebMvcConfigurer实现全局CORS配置,指定路径、允许的源、方法、头部及凭证;4. 若集成Spring Security,需在安全配置中启用cors并定义CorsConfigurationSource,确保CORS规则生效。生产环境建议采用全局配置与Security集成方式。
Java 解决跨域(CORS)问题的标准做法是通过配置 CORS 策略,允许浏览器从不同源(协议、域名、端口)向后端服务发起请求。最常见的场景是在前后端分离架构中,前端运行在本地开发服务器(如 http://localhost:3000),而后端 API 运行在另一个端口或域名上(如 http://localhost:8080)。
在基于 Servlet 的 Java Web 应用中(如 Spring 或原生 JavaEE),可以通过实现 javax.servlet.Filter 来统一处理跨域请求。
示例代码:
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {
<pre class='brush:java;toolbar:false;'>@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin", "http://localhost:3000"); // 允许的前端域名
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers",
"Origin, X-Requested-With, Content-Type, Accept, Authorization");
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
} else {
chain.doFilter(req, res);
}
}}
这个过滤器会拦截所有请求,设置必要的响应头,并对预检请求(OPTIONS)直接返回成功状态。
立即学习“Java免费学习笔记(深入)”;
如果你使用的是 Spring Boot,可以在 Controller 或具体方法上使用 @CrossOrigin 注解快速启用跨域支持。
示例:
@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "http://localhost:3000")
public class UserController {
<pre class='brush:java;toolbar:false;'>@GetMapping("/users")
public List<User> getUsers() {
return userService.getAll();
}}
这种方式适合局部控制,但不适合全局统一管理。
在 Spring Boot 中,最标准的做法是通过实现 WebMvcConfigurer 接口来配置全局 CORS 策略。
示例配置类:
@Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
<pre class='brush:java;toolbar:false;'>@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOriginPatterns("http://localhost:3000") // 支持多个前端地址
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
.allowedHeaders("*")
.allowCredentials(true)
.maxAge(3600);
}}
说明:
如果项目集成了 Spring Security,需要确保安全配置不会覆盖 CORS 设置。
在 Security 配置中显式允许 CORS:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
<pre class='brush:java;toolbar:false;'>@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.cors().and() // 启用 cors 配置
.csrf().disable()
.authorizeRequests(...);
return http.build();
}
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOriginPatterns(Arrays.asList("http://localhost:3000"));
configuration.setAllowedMethods(Arrays.asList("*"));
configuration.setAllowCredentials(true);
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setMaxAge(3600L);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/api/**", configuration);
return source;
}}
这样可以确保 Spring Security 正确应用你定义的 CORS 策略。
基本上就这些。选择哪种方式取决于你的技术栈和需求复杂度。对于生产项目,推荐使用全局配置 + Security 集成的方式,既安全又易于维护。
以上就是java怎么解决跨域CORS问题 配置跨域访问策略的标准做法的详细内容,更多请关注php中文网其它相关文章!
java怎么学习?java怎么入门?java在哪学?java怎么学才快?不用担心,这里为大家提供了java速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
369
收藏
