SpringBoot 3 和 Angular 中的 CORS 问题：彻底解析

理解CORS问题及其影响

跨源资源共享（Cross-Origin Resource Sharing, CORS）是一组HTTP头字段机制，它允许在具有不同源的Web应用程序之间进行通信。这种限制主要来自浏览器的安全策略，称为同源安全策略。当一个网页尝试从不同的域请求资源时，这个请求将被阻止，除非服务器通过适当的CORS头字段明确地允许这样的请求。

问题表现与原因

在集成SpringBoot和Angular应用时，最常见的问题是跨域资源共享错误（通常表现为No 'Access-Control-Allow-Origin' header is present on the requested resource.）。此问题主要由于后端服务默认不设置必要的CORS响应头而导致前端无法成功从其他源读取数据。

解决方案与步骤

在SpringBoot中配置CORS

要解决这个问题，需在SpringBoot 3应用中显式配置CORS。可以通过两种方式实现：全局配置和单个控制器方法上的配置。

1. 全局配置

创建或编辑WebSecurityConfigurerAdapter的子类，并重写其configure(HttpSecurity)方法：

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")  // 应用于所有路径
            .allowedOrigins("*")   // 允许所有源访问
            .allowCredentials(true) // 支持cookies跨域
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            .maxAge(3600);          // 预检请求缓存时间为1小时
    }
}

2. 单个控制器配置

在需要进行CORS处理的Controller上添加注解：

@RestController
@RequestMapping("/api/v1")
@CrossOrigin(origins = "http://your-angular-app.com", allowCredentials = "true")
public class ExampleController {
    // controller methods...
}

在Angular中处理请求

虽然大部分配置是在后端完成的，但确保前端正确发送跨域请求也很重要。例如，在使用HttpClientModule时，可以通过设置请求头来支持携带cookies的请求：

import { HttpClient } from '@angular/common/http';
// ...

constructor(private http: HttpClient) {
    const url = 'http://your-springboot-backend.com/api/v1/resource';

    this.http.get(url, { withCredentials: true }).subscribe(data => {
        console.log('Data received:', data);
    });
}

安全建议与注意事项

在配置CORS时，应该仔细选择允许的源。使用通配符*可能带来安全风险，因为它允许任何网站访问你的API。为更精细控制，最好明确指定可信任的域，并尽量避免开启allowCredentials=true选项除非绝对必要。

此外，在生产环境中应启用HTTPS以加密客户端和服务器之间的通信数据，这有助于防止中间人攻击（MITM）和其他网络威胁。同时，合理设置预检请求缓存时间maxAge可以减少不必要的 OPTIONS 请求。

结语

通过以上步骤配置CORS能够有效解决SpringBoot与Angular集成时的跨域问题，确保应用程序之间安全、高效的通信。遵循这些最佳实践不仅有助于改善用户体验，也能增强系统的安全性。