在Java Web开发中，如何解决跨域（CORS）问题？常见的解决方案有哪些？

一、什么是跨域（CORS）？

跨域资源共享（Cross-Origin Resource Sharing, CORS）是浏览器为防止恶意网站访问其他站点资源而实施的一种安全机制。当请求的协议、域名或端口不同时，就会触发跨域限制。

• 例如：前端运行在http://localhost:3000，而后端接口部署在http://api.example.com:8080，此时就存在跨域问题。
• CORS机制由服务器控制是否允许跨域访问。

二、为什么会出现CORS问题？

现代浏览器默认禁止跨域请求，除非后端明确允许。这是出于安全考虑，防止CSRF攻击和数据泄露。

场景	是否跨域
http://a.com → http://b.com	是
http://a.com:80 → http://a.com:8080	是
http://a.com → https://a.com	是
http://a.com/api → http://a.com/user	否

三、常见解决方案概述

在Java Web开发中，解决CORS问题的方式主要包括以下几种：

1. 使用Filter进行全局配置
2. 使用Spring Boot注解方式
3. 通过Nginx反向代理绕过浏览器限制
4. 前后端配合设置响应头

四、深入解析Java中的CORS处理方案

4.1 使用Filter实现CORS支持

适用于传统的Servlet项目或非Spring框架的应用。可以通过自定义Filter来添加CORS相关Header。

public class CorsFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization, content-type");
        chain.doFilter(req, res);
    }
}

4.2 Spring Boot 中的CORS配置

Spring Boot提供了多种方式来配置CORS，包括全局配置和局部注解。

• 全局配置：通过实现WebMvcConfigurer接口
• 局部配置：使用@CrossOrigin注解在Controller方法上

@Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://example.com")
                .allowedMethods("GET", "POST")
                .allowCredentials(true);
    }
}

4.3 Nginx 反向代理绕过CORS

通过Nginx将前端和后端统一代理到同一个域名下，从而避免跨域问题。

server {
    listen 80;
    server_name example.com;

    location /api/ {
        proxy_pass http://backend-server;
    }

    location / {
        proxy_pass http://frontend-server;
    }
}

4.4 前后端协同设置CORS头部

前后端共同协作，在请求头中加入必要的字段，并确保后端正确返回CORS响应头。

graph TD A[前端发起请求] --> B{是否同源?} B -- 是 --> C[正常访问] B -- 否 --> D[浏览器检查CORS策略] D --> E[服务器返回CORS头] E --> F[允许访问则继续，否则拦截]

五、CORS头部详解与调试技巧

以下是常见的CORS响应头及其作用：

Header名称	说明
Access-Control-Allow-Origin	允许访问的源
Access-Control-Allow-Methods	允许的方法
Access-Control-Allow-Headers	允许的请求头
Access-Control-Allow-Credentials	是否允许携带凭证
Access-Control-Expose-Headers	暴露给前端的额外头信息

调试建议：

• 使用Chrome开发者工具查看Network面板中的Headers信息
• 关注预检请求（OPTIONS）是否成功
• 注意Cookie跨域时需设置withCredentials为true