一、CORS基础概念

1.1 什么是跨域请求

跨域资源共享(Cross-Origin Resource Sharing， CORS)是一种安全机制，它允许Web应用程序在一个域上的资源请求另一个域上的资源。浏览器出于安全考虑，会阻止不同源之间的AJAX请求，这是同源策略(Same-Origin Policy)的限制。

1.2 同源策略定义

两个URL被认为是同源的条件：

协议相同(http/https)域名相同端口相同

例如：

和 → 同源 和 https://example.com → 不同源(协议不同) 和 → 不同源(域名不同) 和 :8080 → 不同源(端口不同)

二、Spring Boot处理CORS的5种方式

2.1 全局配置（推荐）

方式1：使用WebMvcConfigurer接口

方式2：使用Filter方式（适用于Servlet应用）

2.2 控制器方法级配置

方式3：使用@CrossOrigin注解

2.3 属性文件配置（Spring Boot 2.4+）

方式4：application.yml配置

等效的application.properties：

2.4 响应头手动设置

方式5：手动添加响应头（灵活但繁琐）

三、CORS处理深度解析

3.1 预检请求(Preflight Request)

对于"非简单请求"，浏览器会先发送OPTIONS预检请求：

简单请求条件：

1.使用GET、HEAD或POST方法

2.仅包含以下头：

AcceptAccept-LanguageContent-LanguageContent-Type (仅限 application/x-www-form-urlencoded， multipart/form-data，TrustWallet钱包下载安卓app text/plain)

非简单请求示例：

Spring Boot会自动处理OPTIONS请求， Trust钱包安卓版下载无需开发者额外编码。

3.2 核心响应头说明 响应头说明Access-Control-Allow-Origin允许访问的源，表示任何源Access-Control-Allow-Methods允许的HTTP方法Access-Control-Allow-Headers允许的请求头Access-Control-Expose-Headers允许浏览器访问的响应头Access-Control-Allow-Credentials是否允许发送Cookie和HTTP认证信息Access-Control-Max-Age预检请求结果的缓存时间(秒)

3.3 常见问题解决方案

问题1：allowCredentials(true)与allowedOrigins("")冲突

错误：

When allowCredentials is true， allowedOrigins cannot contain the special value ""

解决方案：

问题2：前端仍然报CORS错误

检查步骤：

确保后端已正确配置检查浏览器控制台错误详情使用Postman等工具验证接口是否正常工作检查是否有多个CORS配置相互覆盖

问题3：自定义过滤器干扰CORS

解决方案：

确保CorsFilter在过滤器链中的优先级：

四、安全最佳实践

4.1 生产环境配置建议

4.2 结合Spring Security

当使用Spring Security时，需要确保CORS配置在安全过滤器之前：

4.3 监控与日志

添加CORS请求日志：

五、测试与验证

5.1 测试类示例

5.2 使用CURL测试

检查OPTIONS预检请求：

curl -X OPTIONS :8080/api/users \-H "Origin: " \-H "Access-Control-Request-Method: GET" \-I

检查实际请求：

curl -X GET :8080/api/users \-H "Origin: " \-I

六、总结与推荐方案

6.1 配置方式对比 方式适用场景优点缺点全局WebMvcConfigurer大多数应用集中管理，支持细粒度配置需要代码变更过滤器方式需要最高优先级处理处理最早，避免被其他过滤器干扰配置稍复杂@CrossOrigin注解特定接口需要特殊规则精准控制分散在各处，维护成本高属性文件配置简单需求，配置驱动无需代码变更灵活性较低手动设置响应头需要动态决定CORS头最大灵活性代码侵入性强

6.2 推荐方案

新项目：

使用WebMvcConfigurer全局配置结合属性文件动态配置允许的源对特殊接口使用@CrossOrigin覆盖全局设置

已有项目迁移：

先添加全局配置逐步移除分散的注解配置最终统一到1-2种管理方式

Spring Cloud微服务：

在API Gateway统一处理CORS各微服务禁用CORS或仅允许网关源结合OAuth2等安全机制

https://www.1mtoken.net6.3 终极建议

生产环境不要使用作为允许源 - 明确列出可信域名

限制允许的方法和头 - 按最小权限原则配置

合理设置maxAge - 平衡安全性和性能(建议1小时)

与前端团队协作 - 确保双方对CORS要求理解一致

监控CORS错误 - 及时发现配置问题或恶意请求

通过合理配置CORS，可以在保障安全性的同时，为现代前后端分离架构提供必要的跨域支持。Spring Boot提供了多种灵活的方式，开发者应根据项目实际需求选择最适合的方案。

到此这篇关于SpringBoot中处理跨域请求CORS的全面指南的文章就介绍到这了，更多相关SpringBoot跨域请求CORS内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！