在现代的 Web 开发中，跨域请求（CORS, Cross-Origin Resource Sharing）是一个常见的问题，尤其是在前后端分离的应用架构中。SpringBoot 作为一种非常流行的 Java 开发框架，在处理跨域请求时有其特定的解决方法。本文将详细介绍如何在 SpringBoot 中解决跨域请求问题，涵盖常见的跨域问题类型，如何配置解决跨域问题的多种方式，并结合实际代码示例进行讲解。

在实际开发中，跨域问题通常发生在浏览器发起的 HTTP 请求和服务器不在同一源（域名、协议或端口）时。默认情况下，浏览器会阻止从一个域访问另一个域的数据，避免出现安全隐患。这时，服务器需要告知浏览器允许的跨域请求范围，以实现数据共享。SpringBoot 提供了多种方式来解决跨域请求问题，本文将逐一介绍这些方法。

一、SpringBoot 中的跨域问题分析

在 SpringBoot 中，跨域请求的具体表现通常是在浏览器控制台看到类似以下的错误信息：

Access to XMLHttpRequest at 'http://example.com' from origin 'http://localhost:8080' has been blocked by CORS policy.

这表示浏览器发现你的前端应用程序（通常运行在本地开发环境中的端口，如 8080）试图访问来自其他域（如外部 API 服务）的资源。由于浏览器的同源策略，访问被拒绝，除非目标服务器明确表示允许跨域请求。

二、SpringBoot 解决跨域问题的常见方法

SpringBoot 提供了多种方式来配置跨域请求，以下是几种常用的方式：

1. 使用 @CrossOrigin 注解

Spring 提供的 @CrossOrigin 注解是一种最简单、最直接的跨域解决方案。它可以应用于控制器类或方法上，通过在方法或者类上添加注解，允许特定的源进行跨域访问。

例如，假设你有一个 Controller 类，希望允许来自 "http://localhost:3000" 的请求跨域访问，可以这样配置：

import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class MyController {

    @CrossOrigin(origins = "http://localhost:3000")
    @GetMapping("/api/data")
    public String getData() {
        return "Hello, World!";
    }
}

在上面的代码中，@CrossOrigin 注解将允许来自 "http://localhost:3000" 的请求访问 "/api/data" 接口。你可以根据需要调整 "origins" 参数的值，指定多个允许的域，或者设置为 "*" 来允许所有域进行跨域访问。

2. 全局配置 CORS

如果你希望应用中的所有 API 都支持跨域请求，而不是在每个控制器中都添加 @CrossOrigin 注解，你可以通过配置全局的 CORS 策略来实现。SpringBoot 提供了一种简单的方式来进行全局 CORS 配置，方法是在应用的配置类中定义一个配置。

首先，你需要创建一个配置类并实现 WebMvcConfigurer 接口，然后重写其中的 "addCorsMappings" 方法。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/") // 设置允许跨域的路径
                .allowedOrigins("http://localhost:3000") // 设置允许的来源
                .allowedMethods("GET", "POST", "PUT", "DELETE") // 设置允许的请求方法
                .allowedHeaders("*") // 设置允许的请求头
                .allowCredentials(true); // 是否允许发送 Cookie
    }
}

上面的配置中，我们为所有路径（"/"）设置了跨域访问，并指定了允许来自 "http://localhost:3000" 的 GET、POST、PUT 和 DELETE 请求。此外，还允许任何请求头，并允许客户端携带 Cookie。

3. 使用 Filter 配置 CORS

另一种解决跨域请求的方法是通过自定义 Filter 实现。SpringBoot 允许你在应用程序中配置过滤器（Filter），可以在请求到达 Controller 之前，提前处理跨域请求。

首先，我们需要创建一个 CORS 过滤器：

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

@WebFilter(filterName = "corsFilter", urlPatterns = "/*")
public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化配置
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        response.setHeader("Access-Control-Allow-Origin", "http://localhost:3000");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
        response.setHeader("Access-Control-Allow-Headers", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // 销毁时的清理工作
    }
}

这个自定义的过滤器会在所有请求到达 Controller 之前执行，设置允许的跨域请求头信息。使用这种方式，你可以对所有的请求进行统一的跨域配置。

三、CORS 配置的高级选项

在实际项目中，跨域请求的需求可能更为复杂。SpringBoot 的 CORS 配置允许你根据需求进行精细化设置。以下是一些常见的高级配置选项：

1. 设置最大预检请求缓存时间

对于某些复杂的跨域请求（如带有自定义头部或使用非标准 HTTP 方法的请求），浏览器会首先发送一个预检请求（OPTIONS 请求），以确定目标服务器是否允许实际请求。在默认情况下，这个预检请求会重复发送，这可能会影响性能。你可以通过设置最大预检缓存时间来优化性能：

registry.addMapping("/")
        .allowedOrigins("http://localhost:3000")
        .allowedMethods("GET", "POST", "PUT", "DELETE")
        .maxAge(3600); // 允许预检请求的最大缓存时间为 1 小时

2. 支持多源跨域

如果你希望允许多个来源进行跨域请求，可以通过设置多个 "allowedOrigins" 参数来实现：

registry.addMapping("/")
        .allowedOrigins("http://localhost:3000", "http://example.com")
        .allowedMethods("GET", "POST", "PUT", "DELETE")
        .allowCredentials(true);

这表示同时允许来自 "http://localhost:3000" 和 "http://example.com" 的跨域请求。

四、总结

解决跨域请求问题是 Web 开发中不可避免的一部分，特别是在前后端分离的应用中。SpringBoot 提供了多种解决跨域请求的方法，包括使用 @CrossOrigin 注解、全局 CORS 配置以及自定义 Filter 等方式。开发者可以根据实际需求选择适合的方法进行配置。

在使用 SpringBoot 解决跨域问题时，除了简单的跨域配置外，还可以利用一些高级选项来优化性能和满足复杂的跨域需求。无论是哪种方式，都应该根据实际的业务场景和安全要求来选择合适的跨域策略。

通过本文的介绍，相信你已经掌握了在 SpringBoot 中处理跨域请求的常见方式。如果你遇到了其他与跨域相关的问题，可以参考本文提供的解决方案，进行灵活配置。