百度360必应搜狗淘宝本站头条
linux 远程nginx配置 解析linux 文件命令linux 是什么查看文件 linux
当前位置:网站首页 > 技术文章 > 正文

JAVA面试|什么是跨域问题?Spring Boot如何解决跨域问题?

ahcoder 2025-07-02 17:37 1 浏览

跨域问题是指浏览器出于安全考虑,限制网页从一个源(域名、协议、端口)向另一个源发送请求的行为。这是由浏览器的同源策略导致的。如果两个URL的协议、域名或端口有任何一个不同,就会触发跨域限制。

例如:

前端页面地址:http://localhost:8080

后端接口地址:http://localhost:8081

此时前端请求后端接口会被浏览器拦截,因为端口不同(8080 vs 8081)。


一、跨域问题的底层原理

1. 为什么会有跨域限制?

浏览器为了防止恶意网站窃取用户数据(如Cookie)或发起CSRF 攻击(跨站请求伪造),默认禁止跨域请求。

注意:跨域限制是浏览器的行为,服务器之间直接调用接口(如 Postman测试)不会触发跨域问题!

2. CORS是什么?

跨域资源共享(Cross-Origin Resource Sharing),是W3C的标准,通过服务器在响应头中添加特定字段(如
Access-Control-Allow-Origin),告诉浏览器允许哪些源的请求访问资源。

3. 简单请求 vs 预检请求(Preflight)

简单请求:直接发送请求,如GET、POST(Content-Type 为 text/plain 或 form-data)。

预检请求:复杂请求(如 PUT、DELETE、自定义头、Content-Type 为 application/json)会先发送一个OPTIONS请求,询问服务器是否允许跨域。

关键点:如果预检请求未通过,实际请求不会发送!


二、Spring Boot如何解决跨域问题?

Spring Boot提供了多种方式解决跨域,核心思路是让服务器告诉浏览器:“允许来自某个源的请求访问我”。

1. 方法1:使用@CrossOrigin注解(局部解决)

在Controller类或方法上添加@CrossOrigin注解,允许指定源的请求。

@RestController

@CrossOrigin(origins = "http://localhost:8080") // 允许 8080 端口的请求

public class MyController {

@GetMapping("/hello")

public String hello() {

return "Hello, CORS!";

}

}

2. 方法2:全局配置(推荐)

通过配置类统一管理所有跨域规则,适合整个项目。

@Configuration

public class CorsConfig implements WebMvcConfigurer {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/**") // 匹配所有接口路径

.allowedOrigins("http://localhost:8080") // 允许的源

.allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的方法

.allowedHeaders("*") // 允许的请求头

.allowCredentials(true) // 允许携带 Cookie

.maxAge(3600); // 预检请求缓存时间(秒)

}

}

3. 方法3:通过过滤器解决

自定义过滤器手动添加CORS响应头。

@Bean

public FilterRegistrationBean<CorsFilter> corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("http://localhost:8080");

config.addAllowedMethod("*");

config.addAllowedHeader("*");

config.setAllowCredentials(true);

source.registerCorsConfiguration("/**", config);

return new FilterRegistrationBean<>(new CorsFilter(source));

}


三、Spring Boot解决跨域的进阶场景

1. 场景1:结合Spring Security时的跨域问题

如果项目引入了Spring Security,即使配置了全局CORS,仍可能被Security拦截。

解决方法:在安全配置中显式启用CORS。

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {


@Override

protected void configure(HttpSecurity http) throws Exception {

http

.cors() // 启用 Spring Security 的 CORS 支持

.and()

// 其他配置(如 CSRF 禁用、权限控制等)

.csrf().disable()

.authorizeRequests()

.anyRequest().permitAll();

}


// 关键:提供 CORS 配置源(与全局 CORS 配置结合)

@Bean

CorsConfigurationSource corsConfigurationSource() {

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("http://localhost:8080");

config.addAllowedMethod("*");

config.addAllowedHeader("*");

config.setAllowCredentials(true);

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

source.registerCorsConfiguration("/**", config);

return source;

}

}


2. 场景2:携带Cookie的跨域请求

前端需要发送Cookie(如身份认证)时:

后端配置

.allowCredentials(true) // 允许携带凭证(如 Cookie)

// 注意:此时 allowedOrigins 不能为 *,必须明确指定域名!

前端配置

fetch("http://localhost:8081/api/data", {

credentials: 'include' // 告诉浏览器发送 Cookie

});


3. 场景3:网关层统一处理跨域(如Spring Cloud Gateway)

在微服务架构中,通常在网关层统一处理跨域,避免每个服务重复配置。

示例配置(Gateway的application.yml):

spring:

cloud:

gateway:

globalcors:

cors-configurations:

'[/**]':

allowedOrigins: "http://localhost:8080"

allowedMethods: "*"

allowedHeaders: "*"

allowCredentials: true

maxAge: 3600


四、其他解决跨域的方案(非Spring Boot)

1. 方案1:前端代理(开发环境常用)

利用Webpack、Vite等工具将前端请求代理到后端,绕过浏览器跨域限制。

2. 方案2:Nginx反向代理

通过Nginx将前后端请求转发到同一域名下,避开跨域问题。

示例配置:

server {

listen 80;

server_name your-domain.com;


# 前端静态资源

location / {

root /usr/share/nginx/html;

index index.html;

}


# 反向代理后端接口

location /api {

proxy_pass http://backend-server:8081;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

}

}


五、常见问题排查

1. 问题1:配置了CORS,但依然报跨域错误

可能原因

缓存问题:浏览器缓存了旧的CORS响应头,尝试清除缓存或使用无痕模式。

路径未匹配:全局配置的addMapping("/**")是否覆盖了你的接口路径?

Spring Security拦截:未在安全配置中启用CORS。

响应头缺失:检查响应头是否包含
Access-Control-Allow-Origin。

2. 问题2:预检请求(OPTIONS)返回403状态码

可能原因:Spring Security默认拦截OPTIONS请求,需在配置中放行:

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.antMatchers(HttpMethod.OPTIONS).permitAll() // 放行所有 OPTIONS 请求

.anyRequest().authenticated();

}


六、总结

跨域本质:浏览器为了保护用户安全,限制“不同源”的请求。

解决核心:服务器通过响应头告诉浏览器“允许谁访问我”。

Spring Boot方案:局部注解、全局配置、过滤器、结合Spring Security。

进阶场景:携带Cookie、网关层处理、Nginx代理。

安全第一:生产环境明确指定域名,避免通配符!

相关推荐

ClickHouse日志平台这样建,分分钟秒掉ELK

目前业界的日志生态,最常用的是ELK,其次就是ClickHouse,本文会演示如何使用Vector+ClickHouse来采集Nginx日志并做清洗,最终写入ClickHouse。至...

nginx打印请求头日志方法-openresty

一、前言之前想用nginx打印收到的请求的请求头,但是只找到打印请求体的,没有打印请求头的,感觉原版nginx不支持。建议如果想打印请求头,先换成openresty(本人安装的是openresty-1...

文心快码帮你解大厂面试题:如何使用shell找到access log?

【大厂面试真题】系列,带你攻克大厂面试真题,秒变offer收割机!今日问题:在8g内存的机器,能否启动一个7G堆大小的java进程?一起看看文心快码BaiduComate给出的答案吧!如果这个问题你...

Nginx奇技淫巧之:按日期自动生成日志文件

时光闹钟app开发者,请关注我,后续分享更精彩!坚持原创,共同进步!前言之前文章:Nginx奇技淫巧之:用户行为埋点数据采集实现,介绍了Nginx获取post请求body参数生成日志文件的方法。当业务...

Nginx 日志文件详解:监控与诊断利器

随着互联网技术的快速发展,Nginx已成为最受欢迎的Web服务器之一,其稳定性、高性能和灵活性备受推崇。Nginx日志文件是Nginx服务器中非常重要的组成部分,对于监控和诊断Web应...

Nginx从入门到放弃05-访问日志与日志切割

设置访问日志当我们访问nginx服务时,nginx会记录日志,nginx日志分两种,一种是访问日志,一种是错误日志,访问日志记录在”access.log”文件中,错误日志记录在”error.log”文...

nginx系列:常用利用shell统计日志

0x01:根据访问IP统计UVUV(UniqueVisitor)独立访客,统计访问某站点的用户数;IP(InternetProtocol)独立IP数,是指独立的浏览了页面的不同IP,即统计不同的I...

Linux 必须重点监控的 17 个日志文件:运维与安全必备指南

在Linux系统的日常运维与安全管理中,日志文件的重要性不言而喻。日志不仅记录着系统运行的点点滴滴,更是排查故障、发现异常、提前预警的第一手证据。作为一名系统管理员、安全工程师,甚至普通开发者,了...

nginx 常用日志参数(nginx日志详解)

Nginx提供了多种日志参数(变量),可以用来记录请求的不同方面。常用日志参数$remote_addr:客户端的IP地址。$remote_user:客户端用户名。$time_local:局部时...

GoAccess轻量nginx日志分析工具(nginx日志收集方案)

什么是GoAccessGoAccess是一款开源、实时,运行在命令行终端下的Web日志分析工具。该工具提供快速、多样的HTTP状态统计。分析结果,可以通过XShell等客户端工具查看,并...

后端实践:Nginx日志配置(超详细)(nginx日志配置文件)

作者:antwang来源:https://juejin.im/post/5aa09bb3f265da238f121b6c前言Nginx日志对于统计、系统服务排错很有用。Nginx日志主要分为两种:...

Nginx access_log 运行日志查询和配置

1.介绍当我们学会Nginx的基本配置之后,可以通过Nginx配置Service代理。管理服务器所有的http和https请求。那么接下来就需要了解Nginx的日志控制,以及相关的文档查看了。你通过...

Nginx记录用户请求Header到access log

为了统计和其它用途,经常有人需要自定义Nginx日志,把http请求中的某个字段记录到日志中,刚好在看lua+nginx的文章,第一想到的是用lua赋值来做,但是想想有点小恶心,于是Google了一番...

介绍五款Web服务器日志分析软件(web服务器日志是什么)

  每个站长必须要看的数据统计表,都是由日志分析软件统计和分析网站情况所得出的。日志分析软件是一种解析Nginx/Apache/IIS/Lighttpd和任何其他Web服务器日志文件的软件...

Nginx系列:Nginx自带后端健康检查

严格说Nginx并没有自带针对负载均衡后端节点的健康检查功能,但是可以通过默认自带的ngx_http_proxy_module模块和ngx_http_upstream_module模块中的相关指令...

一周热门
最近发表
标签列表