在Java Web开发中,跨域资源共享(CORS, Cross-Origin Resource Sharing)问题经常遇到,特别是在前端和后端分离的应用中。跨域问题主要出现在浏览器安全策略中,当一个资源(如HTML页面)尝试从不同的源(协议、域名或端口中的任何一个不同)加载资源时,就会触发浏览器的同源策略限制。
为了解决这个问题,后端服务器需要配置以允许来自不同源的请求。在Java中,这通常通过配置Servlet容器(如Tomcat, Jetty等)或直接在Web框架(如Spring MVC, JAX-RS等)中设置响应头来实现。
使用Spring MVC配置CORS
如果你正在使用Spring MVC,你可以通过实现WebMvcConfigurer
接口来全局配置CORS,或者使用@CrossOrigin
注解在方法或控制器级别进行配置。
全局配置CORS
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration
public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 允许所有路径 .allowedOrigins("http://example.com") // 允许访问的源 .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的HTTP方法 .allowedHeaders("*") // 允许的头信息 .allowCredentials(true) // 是否允许发送Cookies .maxAge(3600); // 预检请求的缓存时间(秒) }
}
方法级别配置CORS
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController; @RestController
public class MyController { @CrossOrigin(origins = "http://example.com") @GetMapping("/greeting") public String greeting() { return "Hello, World!"; }
}
使用Spring Boot的@CrossOrigin
在Spring Boot应用中,@CrossOrigin
注解的使用方式与Spring MVC相同。Spring Boot应用通常会自动配置Spring MVC,所以你可以直接在控制器或方法上使用@CrossOrigin
注解。
使用过滤器(Filter)配置CORS
如果你不使用Spring MVC或想要更细粒度的控制,你可以通过实现一个Filter
来手动设置CORS响应头。
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException; public class SimpleCORSFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization"); if ("OPTIONS".equalsIgnoreCase(((HttpServletRequest) req).getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } // 省略其他方法...
}
然后在Web应用中注册这个过滤器。
这些是在Java Web应用中处理CORS问题的几种常见方法。根据具体需求和使用的技术栈,可以选择最适合的方案。