Spring MVC CORS 报错如何解决？跨域请求失败的排查步骤

在开发基于Spring MVC的Web应用时，跨域资源共享（CORS）是一个常见的需求，尤其是在前后端分离的架构中，配置不当或理解不深时，开发者可能会遇到CORS相关的报错，影响应用的正常运行，本文将深入探讨Spring MVC中CORS报错的常见原因、解决方法以及最佳实践,帮助开发者快速定位并解决问题。

CORS报错的常见表现

当Spring MVC应用未正确配置CORS时，前端页面在发起跨域请求时可能会遇到以下错误：

• 在浏览器控制台中看到类似“Access-Control-Allow-Origin”相关的错误信息。
• 后端日志中可能出现“403 Forbidden”或“Preflight request doesn’t pass access control check”等提示。
• 前端请求被浏览器拦截，无法成功获取后端数据。

这些错误通常表明浏览器出于安全考虑,阻止了未经CORS授权的跨域请求。

CORS报错的根本原因

CORS报错的根本原因在于浏览器的同源策略（Same-Origin Policy），该策略要求，除非后端明确授权，否则前端页面只能向同源（协议、域名、端口均相同）的服务器发起请求，在Spring MVC中，如果未启用或配置CORS，后端默认不会响应跨域请求的Access-Control-Allow-Origin等头部信息,导致浏览器拒绝处理响应。

解决方案：全局CORS配置

Spring MVC提供了多种方式配置CORS，推荐使用全局配置以简化管理，在Spring Boot项目中，可以通过实现WebMvcConfigurer接口并重写addCorsMappings方法来实现全局CORS规则：

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://localhost:8080")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true);
    }
}

上述配置允许来自http://localhost:8080的跨域请求，并支持常见的HTTP方法，注意allowedOrigins应替换为实际的前端域名。

解决方案：注解级CORS配置

如果只需要为特定接口启用CORS，可以使用@CrossOrigin注解：

@RestController
@RequestMapping("/api")
public class ApiController {
    @CrossOrigin(origins = "http://localhost:8080")
    @GetMapping("/data")
    public String getData() {
        return "Cross-origin data";
    }
}

这种方式灵活性更高,适合需要差异化控制跨域权限的场景。

常见配置陷阱

在配置CORS时，开发者容易陷入以下误区：

1. 未处理预检请求（Preflight Request）：对于复杂请求（如带有自定义头部的POST请求），浏览器会先发送OPTIONS方法进行预检，如果后端未正确响应OPTIONS请求，CORS会失败。
2. ：当需要携带Cookie时，allowCredentials需设置为true，但此时allowedOrigins不能为，必须明确指定域名。
3. 路径匹配不精确：全局配置中的addMapping("/**")可能过于宽泛，建议根据实际需求限制路径范围,避免安全风险。

最佳实践建议

1. 优先使用全局配置：除非有特殊需求，否则推荐通过全局配置统一管理CORS规则，避免重复代码。
2. 明确指定域名：避免使用通配符，特别是在生产环境中，应严格限制允许的跨域来源。
3. 测试验证：配置完成后，通过浏览器开发者工具检查请求响应头，确保Access-Control-Allow-Origin等字段正确返回。

---

相关问答FAQs

Q1：为什么配置了CORS后，浏览器仍然提示“No ‘Access-Control-Allow-Origin’ header”？
A：可能的原因包括：

• 后端未正确启用CORS配置，或配置类未被Spring扫描到。
• 前端请求的域名与allowedOrigins中配置的不完全一致（如协议或端口缺失）。
• 请求为复杂请求（如PUT/DELETE），后端未处理OPTIONS预检请求，建议检查后端日志和浏览器控制台，逐一排查。

Q2：如何在Spring Security中集成CORS配置？
A：如果项目使用了Spring Security，需确保CORS配置优先于安全过滤器链，可以通过以下方式实现：

1. 在安全配置类中调用.cors().and()启用CORS支持。
2. 将全局CORS配置类标记为@EnableWebSecurity，并确保WebSecurityConfigurerAdapter中的http.cors()未被禁用。
   否则，Spring Security可能会拦截CORS响应头,导致跨域失败。