SpringBoot 如何处理跨域请求？你能说出几种方法？

在现代的Web开发中，跨域请求（Cross-Origin Resource Sharing，CORS）是一个常见的挑战。随着前后端分离架构的流行，前端应用通常运行在一个与后端 API 不同的域名或端口上，这就导致了浏览器的同源策略（Same-Origin Policy）的限制，从而出现了跨域请求问题。

Spring Boot 作为一种流行的 Java 后端框架，提供了多种处理跨域请求的方法，使得开发人员能够灵活地配置和管理跨域资源共享。本文将深入探讨几种常见的解决方案，帮助开发人员理解如何在 Spring Boot 应用中有效地处理跨域请求问题。

此答案节选自鸭鸭最近弄的面试鸭小程序，更多大厂常问面试题，可以点击下面的小程序进行阅读哈！

推荐解析

跨域请求概述

1）什么是跨域请求？跨域请求（Cross-Origin Request）指的是在浏览器环境下，前端代码发起的请求与当前页面的域名（或端口、协议）不同。浏览器的同源策略（Same-Origin Policy）限制了从一个源（域名、协议、端口组成的组合）加载的文档或脚本如何与来自另一个源的资源进行交互。

具体来说，如果一个页面加载自 http://domain1.com，则它的同源策略默认限制了对 http://domain2.com 发起的请求。

2）为什么会出现跨域问题？

跨域问题的出现主要是为了保护用户数据和用户隐私安全。如果没有同源策略的限制，恶意网站可以利用当前用户的身份在其他网站上进行操作，如发送请求、读取数据，这可能导致信息泄露或潜在的安全威胁。

3）可能会导致的安全风险

信息泄露：允许恶意网站读取其他网站的敏感数据。

CSRF（跨站请求伪造）攻击：如果没有适当的防护措施，允许攻击者伪造用户的请求并在用户不知情的情况下执行操作。

恶意脚本注入：通过跨域请求注入恶意脚本，影响其他域上的安全性。

跨域解决方案

1）使用@CrossOrigin注解

Spring 框架提供了@CrossOrigin注解，可以直接在 Controller 类或方法上使用，以声明允许来自特定源的请求。例如：

@RestController
@RequestMapping("/api")
public class MyController {

    @CrossOrigin(origins = "http://allowed-origin.com")
    @GetMapping("/data")
    public ResponseEntity<String> getData() {
        // 处理逻辑
    }
}

优点：简单直接，适用于简单的跨域场景。

缺点：无法进行更细粒度的配置，如请求方法、请求头等。

2） 使用WebMvcConfigurer配置类

通过自定义WebMvcConfigurer配置类，可以更灵活地配置跨域请求。例如：

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://allowed-origin.com")
                .allowedMethods("GET", "POST")
                .allowedHeaders("header1", "header2")
                .exposedHeaders("header3")
                .allowCredentials(true)
                .maxAge(3600);
    }
}

优点：可以精确控制允许的源、方法、头部等。

缺点：需要编写额外的配置类，相对比较复杂。

3）使用过滤器（Filter）

通过自定义过滤器来处理跨域请求，这种方法可以在请求到达 Controller 之前进行处理。例如：

@Component
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        
        response.setHeader("Access-Control-Allow-Origin", "http://allowed-origin.com");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST");
        response.setHeader("Access-Control-Allow-Headers", "header1,header2");
        response.setHeader("Access-Control-Expose-Headers", "header3");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Max-Age", "3600");
        
        chain.doFilter(req, res);
    }

}

优点：可以完全自定义跨域请求处理逻辑。

缺点：需要更多的Java编程经验，并且可能需要处理更复杂的跨域场景。

其他补充

鱼聪明 AI 的回答：

鱼聪明 AI 地址：https://www.yucongming.com/

1. 预检请求（Preflight Requests）

跨域请求中，某些复杂请求（如带有自定义头部的请求、使用某些特殊方法如PUT、DELETE等的请求）会触发浏览器先发送一个预检请求（OPTIONS请求）到服务器，以确定是否允许实际的请求。预检请求包含以下头部信息：

• Origin：表明发起请求的源。
• Access-Control-Request-Method：实际请求将使用的HTTP方法。
• Access-Control-Request-Headers：实际请求将使用的自定义头部。

服务器需要正确响应预检请求，以确保浏览器安全地执行实际请求。

处理预检请求的方法：

• 使用@CrossOrigin注解处理：

  @CrossOrigin(origins = "http://allowed-origin.com", methods = {RequestMethod.GET, RequestMethod.POST}, allowedHeaders = {"header1", "header2"})
  @RequestMapping(value = "/api/data", method = RequestMethod.OPTIONS)
  public ResponseEntity<Void> preflight() {
      return ResponseEntity.ok().build();
  }
  

  在Controller中定义一个处理OPTIONS请求的方法，并使用@CrossOrigin注解指定允许的源、方法和头部。

• 通过WebMvcConfigurer配置类处理：

  @Configuration
  public class WebConfig implements WebMvcConfigurer {
  
      @Override
      public void addCorsMappings(CorsRegistry registry) {
          registry.addMapping("/api/**")
                  .allowedOrigins("http://allowed-origin.com")
                  .allowedMethods("GET", "POST")
                  .allowedHeaders("header1", "header2")
                  .exposedHeaders("header3")
                  .allowCredentials(true)
                  .maxAge(3600);
      }
  
      @Override
      public void addCorsMappings(CorsRegistry registry) {
          registry.addMapping("/api/**")
                  .allowedOrigins("http://allowed-origin.com")
                  .allowedMethods("GET", "POST")
                  .allowedHeaders("header1", "header2")
                  .exposedHeaders("header3")
                  .allowCredentials(true)
                  .maxAge(3600);
      }
  }
  

  在WebMvcConfigurer配置类中，通过重写addCorsMappings方法来定义预检请求的处理方式。

2. 其他注意事项

• Credentials（凭证）的处理：

  如果请求需要使用凭证（如使用Cookie、HTTP认证信息等），需要确保在跨域请求中设置Access-Control-Allow-Credentials为true，并在客户端请求中设置withCredentials为true。

• 暴露自定义头部：

  如果需要在响应中暴露某些自定义头部供客户端访问，可以通过Access-Control-Expose-Headers头部指定。

• 缓存控制：

  可以通过Access-Control-Max-Age头部指定预检请求的缓存时间，减少重复发送预检请求的次数，提升性能。

总结

避免跨域请求问题不仅仅是简单地允许跨域请求，还需要正确处理预检请求及相关细节。通过使用@CrossOrigin注解、自定义WebMvcConfigurer配置类或过滤器来处理跨域请求，可以有效地保证跨域请求的安全性和可靠性。同时，要特别注意凭证的处理及其他相关头部信息的配置，确保跨域请求能够在安全、可控的环境下完成。

欢迎交流

本文主要介绍 SpringBoot 处理跨域请求的方式，另外可以用 SpringSecurity 和 SpringCloudGateWay 等框架进行全局跨域处理，在文末还剩下三个问题，欢迎小伙伴在评论区进行留言！

1）如何区分简单请求和复杂请求？

2）在实际项目中，如何选择合适的跨域请求解决方案？

3）如何处理凭证（Credentials）在跨域请求中的应用？

近期面试鸭小程序已全面上线，已经有近 1500 道面试题目啦。

点燃求职热情！每周持续更新，海量面试题和大厂面经等你挑战！赶紧关注面试鸭公众号，轻松备战秋招和暑期实习！

往期推荐

Sentinel 采用的是什么限流算法？

MySQL 如何实现将数据实时同步到 ES ？

你简历写到了线程池，那么线程池监控你是怎么做的？

面试官：你公司是怎么做日志收集处理的？

SpringBoot 同时可以处理多少请求？这可难倒了不少人

慢 SQL 监控都不会？Out！