Spring MVC CORS跨域：@CrossOrigin注解配置与原理

Spring MVC CORS跨域：@CrossOrigin注解配置与原理

【免费下载链接】spring-mvc-showcase spring-attic/spring-mvc-showcase: 一个基于 Spring MVC 的 Web 应用程序示例，包含了各种常见的 Web 应用程序功能。适合用于学习和实践 Spring MVC 开发，可以参考示例实现各种 Web 应用程序功能。 项目地址: https://gitcode.com/gh_mirrors/sp/spring-mvc-showcase

在现代Web开发中，CORS跨域资源共享是前端开发者经常遇到的难题。Spring MVC框架提供了优雅的解决方案——@CrossOrigin注解，让跨域配置变得简单高效。本文将通过Spring MVC Showcase项目，详细解析CORS跨域的配置方法和实现原理。

🤔 什么是CORS跨域问题？

当你的前端应用（如React、Vue）运行在http://localhost:3000，而后端API部署在http://localhost:8080时，浏览器会因为同源策略而阻止跨域请求。这就是CORS问题的根源。

Spring MVC的**@CrossOrigin注解**就是为了解决这个问题而生的！

🚀 Spring MVC CORS配置方法

1. 控制器级别配置

在控制器类上添加@CrossOrigin注解，即可为该控制器的所有方法启用跨域访问：

@CrossOrigin
@RestController
public class SimpleController {
    
    @GetMapping("/simple")
    public String simple() {
        return "Hello world!";
    }
}

2. 方法级别配置

如果你需要更精细的控制，可以在单个方法上配置：

@RestController
public class ApiController {
    
    @CrossOrigin(origins = "http://localhost:3000")
    @GetMapping("/api/data")
    public String getData() {
        return "跨域数据";
    }
}

3. 全局配置方式

在配置类中通过addCorsMappings方法实现全局CORS配置：

@Configuration
@EnableWebMvc
public class WebMvcConfig implements WebMvcConfigurer {
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://localhost:3000")
                .allowedMethods("GET", "POST", "PUT", "DELETE");
    }
}

🔧 CORS注解参数详解

@CrossOrigin注解支持多种配置参数：

• origins: 允许的源域名列表
• methods: 允许的HTTP方法
• allowedHeaders: 允许的请求头
• exposedHeaders: 暴露给前端的响应头
• allowCredentials: 是否允许携带凭据
• maxAge: 预检请求的缓存时间

💡 CORS工作原理揭秘

Spring MVC的CORS支持基于过滤器链实现：

1. 预检请求处理：浏览器在发送实际请求前会发送OPTIONS请求
2. CORS头部注入：Spring自动添加Access-Control-Allow-Origin等响应头
3. 请求验证：验证请求来源、方法、头部是否符合配置

🛠️ 实战配置示例

在SimpleController.java中，我们可以这样配置：

@CrossOrigin(
    origins = {"http://localhost:3000", "https://myapp.com"},
    methods = {RequestMethod.GET, RequestMethod.POST},
    maxAge = 3600
)
@RestController
public class SimpleController {
    // 控制器方法...
}

📋 常见问题解决方案

问题1：预检请求失败

解决方案：确保OPTIONS方法在允许的方法列表中

问题2：凭证无法传递

解决方案：设置allowCredentials = true

问题3：自定义头部被阻止

解决方案：在allowedHeaders中添加自定义头部

🎯 最佳实践建议

1. 生产环境：明确指定允许的源域名，不要使用通配符*
2. 开发环境：可以使用@CrossOrigin简化配置
3. 安全考虑：合理设置maxAge，避免预检请求过于频繁

🔍 源码学习路径

想要深入理解Spring MVC的CORS实现？建议阅读以下核心文件：

• WebMvcConfig.java - Spring MVC配置示例
• 各种控制器实现 - 展示不同的Web应用功能

💎 总结

Spring MVC的**@CrossOrigin注解**为开发者提供了简单而强大的CORS跨域解决方案。无论是控制器级别的粗粒度配置，还是方法级别的细粒度控制，都能满足不同场景的需求。

通过本文的介绍，相信你已经掌握了Spring MVC CORS配置的核心要点。现在就去你的项目中实践一下吧！🚀

【免费下载链接】spring-mvc-showcase spring-attic/spring-mvc-showcase: 一个基于 Spring MVC 的 Web 应用程序示例，包含了各种常见的 Web 应用程序功能。适合用于学习和实践 Spring MVC 开发，可以参考示例实现各种 Web 应用程序功能。 项目地址: https://gitcode.com/gh_mirrors/sp/spring-mvc-showcase