Springboot怎么通过配置WebMvcConfig处理Cors非同源访问跨域问题

引言

在现代Web开发中，前后端分离的架构模式越来越流行。前端和后端通常部署在不同的服务器上，这就导致了跨域资源共享（CORS）问题的出现。CORS是一种机制，它允许在浏览器中运行的Web应用程序从不同的源（域名、协议或端口）请求资源。Spring Boot流行的Java框架，提供了多种方式来处理CORS问题。本文将详细介绍如何通过配置WebMvcConfig来处理CORS非同源访问跨域问题。

1. 什么是CORS？

1.1 CORS的定义

CORS（Cross-Origin Resource Sharing）是一种机制，它使用额外的HTTP头来告诉浏览器，允许运行在一个源（domain）上的Web应用访问来自不同源服务器上的指定资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时，资源会发起一个跨域HTTP请求。

1.2 为什么需要CORS？

在Web开发中，出于安全考虑，浏览器会实施同源策略（Same-Origin Policy），即限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。同源策略可以防止恶意网站窃取数据，但它也限制了合法的跨域请求。CORS机制允许服务器明确地告诉浏览器哪些跨域请求是被允许的。

2. Spring Boot中的CORS支持

Spring Boot提供了多种方式来处理CORS问题，包括：

• 使用@CrossOrigin注解
• 配置WebMvcConfigurer
• 使用CorsFilter

本文将重点介绍如何通过配置WebMvcConfigurer来处理CORS问题。

3. 配置WebMvcConfigurer处理CORS

3.1 创建WebMvcConfigurer配置类

首先，我们需要创建一个配置类来实现WebMvcConfigurer接口。这个接口提供了多种方法来配置Spring MVC的行为，包括CORS配置。

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
                .allowedHeaders("*")
                .allowCredentials(true)
                .maxAge(3600);
    }
}

3.2 解释配置项

• addMapping("/**")：指定允许跨域访问的路径模式，/**表示所有路径。
• allowedOrigins("*")：指定允许跨域访问的源，*表示允许所有源。
• allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")：指定允许的HTTP方法。
• allowedHeaders("*")：指定允许的请求头，*表示允许所有请求头。
• allowCredentials(true)：指定是否允许发送Cookie等凭证信息。
• maxAge(3600)：指定预检请求的有效期，单位为秒。

3.3 配置多个CORS规则

如果你需要为不同的路径配置不同的CORS规则，可以在addCorsMappings方法中添加多个addMapping调用。

@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/api/**")
            .allowedOrigins("https://example.com")
            .allowedMethods("GET", "POST")
            .allowedHeaders("*")
            .allowCredentials(true)
            .maxAge(3600);

    registry.addMapping("/admin/**")
            .allowedOrigins("https://admin.example.com")
            .allowedMethods("GET", "POST", "PUT", "DELETE")
            .allowedHeaders("*")
            .allowCredentials(true)
            .maxAge(3600);
}

3.4 处理OPTIONS请求

在CORS机制中，浏览器会先发送一个OPTIONS请求（预检请求）来确认服务器是否允许实际的请求。Spring Boot会自动处理这些OPTIONS请求，你不需要手动处理。

4. 测试CORS配置

4.1 创建测试Controller

为了测试CORS配置是否生效，我们可以创建一个简单的Controller。

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api")
public class ApiController {

    @GetMapping("/hello")
    public String hello() {
        return "Hello, CORS!";
    }
}

4.2 使用Postman测试

你可以使用Postman或其他HTTP客户端工具来测试CORS配置。确保在请求头中添加Origin字段，并检查响应头中是否包含Access-Control-Allow-Origin字段。

4.3 使用浏览器测试

在浏览器中打开开发者工具，查看网络请求的响应头，确认CORS配置是否生效。

5. 常见问题与解决方案

5.1 CORS配置未生效

如果CORS配置未生效，可能是以下原因导致的：

• 配置类未正确加载：确保配置类被Spring Boot扫描到，并且使用了@Configuration注解。
• 路径匹配错误：检查addMapping中的路径模式是否正确。
• 其他过滤器或拦截器干扰：确保没有其他过滤器或拦截器干扰CORS配置。

5.2 预检请求失败

如果预检请求失败，可能是以下原因导致的：

• 允许的HTTP方法不包含OPTIONS：确保allowedMethods中包含OPTIONS方法。
• 允许的请求头不完整：确保allowedHeaders中包含所有必要的请求头。

5.3 跨域请求携带Cookie失败

如果跨域请求需要携带Cookie，确保allowCredentials设置为true，并且allowedOrigins不能为*，必须指定具体的源。

6. 总结

通过配置WebMvcConfigurer，我们可以轻松地在Spring Boot中处理CORS非同源访问跨域问题。本文详细介绍了如何创建配置类、配置CORS规则、测试CORS配置以及解决常见问题。希望本文能帮助你更好地理解和应用CORS机制，提升Web应用的安全性和灵活性。

7. 参考资料

• Spring Boot官方文档
• MDN Web Docs: CORS
• Spring MVC CORS支持

8. 附录

8.1 完整代码示例

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("https://example.com")
                .allowedMethods("GET", "POST")
                .allowedHeaders("*")
                .allowCredentials(true)
                .maxAge(3600);

        registry.addMapping("/admin/**")
                .allowedOrigins("https://admin.example.com")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true)
                .maxAge(3600);
    }
}

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api")
public class ApiController {

    @GetMapping("/hello")
    public String hello() {
        return "Hello, CORS!";
    }
}

8.2 常见HTTP头

• Origin：请求的源。
• Access-Control-Allow-Origin：服务器允许的源。
• Access-Control-Allow-Methods：服务器允许的HTTP方法。
• Access-Control-Allow-Headers：服务器允许的请求头。
• Access-Control-Allow-Credentials：服务器是否允许发送凭证信息。
• Access-Control-Max-Age：预检请求的有效期。

8.3 常见HTTP方法

• GET：获取资源。
• POST：提交资源。
• PUT：更新资源。
• DELETE：删除资源。
• OPTIONS：预检请求。

8.4 常见状态码

• 200 OK：请求成功。
• 204 No Content：请求成功，但没有返回内容。
• 400 Bad Request：请求无效。
• 401 Unauthorized：未授权。
• 403 Forbidden：禁止访问。
• 404 Not Found：资源未找到。
• 500 Internal Server Error：服务器内部错误。

8.5 常见问题排查步骤

1. 检查配置类是否被正确加载。
2. 检查路径匹配是否正确。
3. 检查允许的HTTP方法和请求头是否完整。
4. 检查是否允许发送凭证信息。
5. 检查是否有其他过滤器或拦截器干扰CORS配置。

8.6 进一步学习

• Spring Security CORS配置
• Spring Boot CORS示例
• CORS详解

9. 结语

通过本文的学习，你应该已经掌握了如何在Spring Boot中通过配置WebMvcConfigurer来处理CORS非同源访问跨域问题。CORS机制是现代Web开发中不可或缺的一部分，合理配置CORS可以提升应用的安全性和用户体验。希望本文能帮助你在实际开发中更好地应用CORS机制，解决跨域问题。