Spring MVC拦截器如何实现跨域请求的统一处理？

1. 问题概述

在使用Spring MVC拦截器实现跨域请求统一处理时，常见的问题是如何正确设置响应头以允许特定来源的跨域访问。如果配置不当，可能会导致浏览器阻止跨域请求，并出现类似“已阻止跨域请求：当前的 CORS 标头 'Access-Control-Allow-Origin' 配置不正确”的错误。

为了解决这个问题，需要确保拦截器中的`preHandle`方法能够正确添加CORS标头，例如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`等。此外，还需要特别注意预检请求（OPTIONS方法）的处理逻辑以及多个拦截器之间的优先级问题。

2. 常见问题分析

1. CORS标头配置错误： 如果未正确设置`Access-Control-Allow-Origin`，浏览器将拒绝跨域请求。
2. 预检请求未正确处理： 对于HTTP OPTIONS方法的请求，应直接返回而不再执行后续逻辑。
3. 拦截器优先级问题： 如果项目中有多个拦截器，跨域处理拦截器可能被其他拦截器提前终止。

以下是常见问题的具体表现：

3. 解决方案

解决跨域问题的关键在于以下几点：

• 在`preHandle`方法中通过`response.setHeader`添加正确的CORS标头。
• 对于预检请求（OPTIONS方法），直接返回200状态码并结束请求。
• 调整拦截器优先级，确保跨域处理拦截器优先执行。

以下是一个示例代码：

public class CorsInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 设置CORS标头
        response.setHeader("Access-Control-Allow-Origin", "http://example.com");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");

        // 处理预检请求
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            return false; // 不再执行后续逻辑
        }
        return true;
    }
}
    

4. 拦截器优先级调整

当项目中有多个拦截器时，需确保跨域处理拦截器优先执行。可以通过以下方式调整拦截器顺序：

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 确保CorsInterceptor优先执行
        registry.addInterceptor(new CorsInterceptor()).addPathPatterns("/**").order(0);
        registry.addInterceptor(new AuthInterceptor()).addPathPatterns("/api/**").order(1);
    }
}
    

通过`order`方法可以明确指定拦截器的优先级。

5. 流程图说明

以下是跨域请求处理的流程图：

此流程图展示了如何处理预检请求以及普通跨域请求。