使用Springboot处理跨域的方式_Java

1. 基本知识

跨域指的是在一个域下的网页试图访问另一个域下的资源

由于浏览器的同源策略，默认情况下，javascript 只能在相同的域中进行请求

跨域通常涉及以下概念：

origin: 包括协议、域名和端口号
比如 http://example.com:80
same-origin policy: 浏览器的安全策略，限制一个源的文档或脚本如何能与另一个源的资源进行交互
cors: 允许跨域请求的机制
服务器通过设置特定的响应头来告知浏览器哪些源是允许访问的

在 spring boot 中，处理跨域的方式有几种，以下是主要的几种方式：

使用 @crossorigin 注解: 这种方式较为简单，适用于控制器层
配置全局跨域设置: 这种方式适用于全局配置，可以在 web 配置类中设置
自定义 corsconfiguration: 适用于更复杂的跨域配置需求，可以在配置类中自定义

以下为demo示例

2. @crossorigin

可以在控制器类或方法上添加 @crossorigin 注解

注解的参数可以配置允许的源（origins）、允许的请求方法（methods）、允许的请求头（allowedheaders）、是否允许凭证（allowcredentials）等

import org.springframework.web.bind.annotation.crossorigin;
import org.springframework.web.bind.annotation.getmapping;
import org.springframework.web.bind.annotation.requestmapping;
import org.springframework.web.bind.annotation.restcontroller;

@restcontroller
@requestmapping("/api")
public class mycontroller {

    @crossorigin(origins = "http://example.com")
    @getmapping("/data")
    public string getdata() {
        return "data from server";
    }
}

如果不使用 @crossorigin 注解，浏览器会阻止跨域请求，因为默认的同源策略不允许不同源之间的请求

3. 全局跨域设置

配置 webmvcconfigurer 来全局设置跨域

import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.web.servlet.config.annotation.corsregistry;
import org.springframework.web.servlet.config.annotation.webmvcconfigurer;

/**
 * 配置类，用于全局设置 cors（跨域资源共享）配置
 */
@configuration
public class webconfig implements webmvcconfigurer {

    /**
     * 配置跨域请求的映射规则
     * 
     * @param registry 用于注册 cors 配置的注册表
     */
    @override
    public void addcorsmappings(corsregistry registry) {
        // 添加跨域映射规则
        registry.addmapping("/**")  // 允许所有路径的跨域请求
                .allowedorigins("http://example.com")  // 允许来自 http://example.com 的跨域请求
                .allowedmethods("get", "post", "put", "delete")  // 允许的请求方法
                .allowedheaders("*")  // 允许所有请求头
                .allowcredentials(true);  // 允许携带凭证（如 cookies）
    }
}

4. 自定义 corsconfiguration

import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.web.servlet.config.annotation.corsregistry;
import org.springframework.web.servlet.config.annotation.webmvcconfigurer;

@configuration
public class customcorsconfig implements webmvcconfigurer {

    @bean
    public corsconfigurationsource corsconfigurationsource() {
        corsconfiguration configuration = new corsconfiguration();
        configuration.setallowedorigins(arrays.aslist("http://example.com"));
        configuration.setallowedmethods(arrays.aslist("get", "post", "put", "delete"));
        configuration.setallowedheaders(arrays.aslist("*"));
        configuration.setallowcredentials(true);

        urlbasedcorsconfigurationsource source = new urlbasedcorsconfigurationsource();
        source.registercorsconfiguration("/**", configuration);

        return source;
    }
}

5. 实战

以下展示项目中的跨域

用 @autoconfiguration 进行自动配置

实现webmvcconfigurer 接口，并通过 filterregistrationbean 注册自定义的跨域过滤器 corsfilter 和其他过滤器

import org.springframework.boot.autoconfigure.autoconfiguration;
import org.springframework.boot.autoconfigure.condition.conditionalonproperty;
import org.springframework.boot.web.servlet.filterregistrationbean;
import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.web.filter.corsfilter;
import org.springframework.web.servlet.config.annotation.webmvcconfigurer;
import org.springframework.web.cors.corsconfiguration;
import org.springframework.web.cors.urlbasedcorsconfigurationsource;

@configuration
@autoconfiguration
@enableconfigurationproperties(webproperties.class)
public class webautoconfiguration implements webmvcconfigurer {

    /**
     * 创建一个 corsfilter 过滤器的 bean，配置跨域设置
     *
     * @return 配置了跨域设置的 filterregistrationbean
     */
    @bean
    public filterregistrationbean<corsfilter> corsfilterbean() {
        // 创建 corsconfiguration 对象
        corsconfiguration config = new corsconfiguration();
        config.setallowcredentials(true);  // 允许携带凭证（如 cookies）
        config.addallowedoriginpattern("*"); // 允许所有来源的请求（注意：生产环境中通常不建议使用 *，应具体配置允许的域）
        config.addallowedheader("*"); // 允许所有请求头
        config.addallowedmethod("*"); // 允许所有 http 方法（get, post, put, delete 等）

        // 创建 urlbasedcorsconfigurationsource 对象
        urlbasedcorsconfigurationsource source = new urlbasedcorsconfigurationsource();
        source.registercorsconfiguration("/**", config); // 对所有路径配置跨域设置

        // 创建并返回一个 filterregistrationbean 实例，注册 corsfilter
        return createfilterbean(new corsfilter(source), integer.min_value);
    }

    /**
     * 创建 demofilter bean，演示模式
     * 
     * @return 配置了 demofilter 的 filterregistrationbean
     */
    @bean
    @conditionalonproperty(value = "demo", havingvalue = "true")
    public filterregistrationbean<demofilter> demofilter() {
        // 创建并返回一个 filterregistrationbean 实例，注册 demofilter
        return createfilterbean(new demofilter(), integer.min_value);
    }

    /**
     * 创建 filterregistrationbean 实例的通用方法
     * 
     * @param filter 需要注册的过滤器实例
     * @param order  过滤器的执行顺序
     * @return 配置了过滤器的 filterregistrationbean 实例
     */
    public static <t extends filter> filterregistrationbean<t> createfilterbean(t filter, integer order) {
        filterregistrationbean<t> bean = new filterregistrationbean<>(filter);
        bean.setorder(order);  // 设置过滤器的顺序
        return bean;
    }
}

总结

处理方式	适用场景	配置位置	灵活性	配置难度
@crossorigin 注解	单个控制器或方法	控制器层	低	低
全局配置（webmvcconfigurer）	全局设置	配置类（webconfig）	中	中
自定义 corsconfiguration	复杂跨域需求	配置类（customcorsconfig）	高	高