Springboot解决ajax+自定义headers的跨域请求问题

由于浏览器同源策略（同源策略，它是由Netscape提出的一个著名的安全策略，现在所有支持JavaScript 的浏览器都会使用这个策略。接下来通过本文给大家介绍Springboot如何优雅的解决ajax+自定义headers的跨域请求 ,需要的朋友可以参考下 在Web开发中，浏览器的同源策略是一项基本的安全机制，限制了来自不同源的资源交互。这导致了在处理跨域请求时的一些挑战，尤其是在使用AJAX和自定义headers时。Spring Boot作为流行的Java后端框架，提供了优雅的解决方案来处理这类问题。 我们来理解什么是跨域。跨域是指一个域下的文档或脚本尝试请求另一个域下的资源，如果两个域的协议、域名或端口有任何不同，就被视为跨域。浏览器的同源策略限制了这种行为，以防止恶意脚本获取或操作不同源的数据。 Spring Boot中解决跨域问题主要有两种方式： 1. **普通跨域请求解决方案**： - 对单个接口使用`@CrossOrigin`注解。例如，你可以在控制器方法上添加此注解，指定允许的源（如`@CrossOrigin(origins = "http://127.0.0.1:8020", maxAge = 3600)`），这将允许指定的源进行跨域访问。 - 全局配置跨域策略。创建一个配置类，如`CorsConfig`，并定义一个`CorsFilter`。在`buildConfig()`方法中，你可以设置`allowedOrigins`、`allowedHeaders`和`allowedMethods`，以允许任何源、任何头和任何方法。然后，将配置注册到`UrlBasedCorsConfigurationSource`，并应用到所有接口（`/**`）。 2. **处理Ajax自定义headers的跨域请求**： - 当AJAX请求携带自定义headers（如`Authorization`），浏览器会发送一个OPTIONS预检请求，检查服务器是否允许这样的请求。这是因为非简单请求（非GET/HEAD/POST，非标准Content-Type，或有自定义headers）需要确保其安全性。 - 如果你的接口需要权限校验，比如需要在header中携带token，浏览器的预检请求会导致500错误。在这种情况下，你需要在Spring Boot的全局配置中允许这些自定义headers，同时处理OPTIONS请求。在上面的`CorsConfig`示例中，`allowedHeaders`设置为`"*"`，意味着允许任何头，这将包括自定义headers。 要正确处理预检请求，你需要确保服务器能够正确响应OPTIONS请求，返回适当的HTTP状态码（通常是200）以及`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`和`Access-Control-Allow-Origin`等响应头。在Spring Boot中，全局配置通常已经包含了这些设置。 总结，Spring Boot通过提供对`@CrossOrigin`注解和自定义`CorsFilter`的支持，使得处理跨域请求变得简单而灵活。无论是针对特定接口还是全局配置，都能有效解决AJAX请求，包括带有自定义headers的跨域问题。正确配置后，你的前端应用将能够顺利地与Spring Boot后端进行安全、无阻的通信。