Java中如何实现跨域？

在Java中实现跨域的核心是让服务器支持CORS（跨域资源共享），以下是几种常见实现方式及关键细节说明：

通过自定义Filter在响应头中添加CORS字段，适用于Servlet、Spring等所有Java Web项目。

• 关键响应头：

  Access-Control-Allow-Origin：允许的域名（*表示任意域名，生产环境建议指定具体域名）。

  Access-Control-Allow-Methods：允许的HTTP方法（如GET, POST, OPTIONS）。

  Access-Control-Allow-Headers：允许的请求头（如Content-Type, Authorization）。

  Access-Control-Max-Age：预检请求缓存时间（秒）。

• 处理OPTIONS预检请求：若请求方法为OPTIONS，直接返回200状态码，避免进入业务逻辑。
• 示例代码：public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization"); if ("OPTIONS".equalsIgnoreCase(((HttpServletRequest) req).getMethod())) { response.setStatus(HttpServletResponse.SC_OK); return; } chain.doFilter(req, res); }}
• 启用方式：

  在web.xml中配置<filter>和<filter-mapping>。

  或使用@WebFilter注解（需Servlet 3.0+）。

在Controller类或方法上添加@CrossOrigin注解，快速开启跨域支持。

• 作用范围：

  类级别：该Controller下所有接口生效。

  方法级别：仅当前方法生效（优先级高于类级别）。

• 常用属性：

  origins：允许的域名（如

  http://localhost:3000
  ）。

  methods：允许的HTTP方法（如RequestMethod.GET）。

  allowCredentials：是否允许凭证（如Cookie，需配合Access-Control-Allow-Origin为具体域名）。

• 示例代码：@RestController@RequestMapping("/api")@CrossOrigin(origins = "
  http://localhost:3000"
  , allowCredentials = "true")public class UserController { @GetMapping("/users") public List<User> getUsers() { return userService.findAll(); }}

通过实现WebMvcConfigurer接口的addCorsMappings方法，统一管理跨域规则。

• 优势：

  集中配置，避免重复注解。

  支持复杂规则（如路径匹配、多域名）。

• 关键配置项：

  allowedOriginPatterns：支持通配符的域名匹配（如http://*.example.com）。

  allowedMethods：允许的HTTP方法列表。

  allowCredentials：是否允许凭证（需与allowedOrigins非*配合）。

• 示例代码：@Configurationpublic class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/") .allowedOriginPatterns("
  http://localhost:3000"
  , "
  https://example.com"
  ) .allowedMethods("GET", "POST", "PUT", "DELETE") .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); }}

通过Nginx将前端和后端统一代理，使前端请求的域名与后端一致，规避跨域。

• 配置示例：server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html; } location /api/ { proxy_pass
  http://backend:8080/;
  proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; }}
• 原理：前端访问
  http://localhost/api/users
  时，Nginx将请求转发至
  http://backend:8080/api/users
  ，浏览器视为同源请求。

1. 预检请求（OPTIONS）：

   复杂请求（如含自定义头、非简单方法）会先发送OPTIONS请求，服务器需正确响应。

   Filter和全局配置需显式处理OPTIONS方法。

2. 凭证支持（withCredentials）：

   若前端启用withCredentials: true，后端需设置Access-Control-Allow-Origin为具体域名（非*），并配置allowCredentials(true)。

3. 安全性：

   生产环境避免使用Access-Control-Allow-Origin: *，需明确指定可信域名。

   限制允许的HTTP方法和头，避免过度开放。

• 简单项目：使用@CrossOrigin注解或Filter。
• 生产环境：优先选择全局CORS配置（WebMvcConfigurer），便于维护和扩展。
• 前后端分离部署：结合Nginx反向代理，减少跨域配置复杂度。

通过以上方法，可灵活解决Java项目中的跨域问题，具体选择需结合技术栈和部署架构。