近期前端大佬要预研一套系统，需要后端支持一下，所以快速搭建了一个简单springboot服务，构建工程、编写接口、自测一切都ok，但是联调出问题了！！！页面调试工具一直显示CORS error，然后开启了一段跨域之路~~

什么是跨域

CORS全称为Cross Origin Resource Sharing（跨域资源共享），其中涉及的就是请求的url。

请求url一般格式：
协议 + 域名（子域名 + 主域名） + 端口号 + 资源地址

只要协议，子域名，主域名，端口号4个中，有一项不同，则认为跨域

解决方案

1. @CrossOrigin注解 - 控制器及方法CORS配置
2. CORS全局配置，实现WebMvcConfigurer
3. 基于过滤器的CORS支持
   3.1 实现Filter
   3.2 声明FilterRegistrationBean
4. nginx 配置

实践出真知

因缺少部署技能点，只能测试解决方案中的1-3~~

首次尝试@CrossOrigin，失败

在controller方法上添加注解@CrossOrigin，测试后发现请求request有接收并在后台处理，但是前端没有接收到response！

@RestController
@RequestMapping("/user")
public class UserController {

    @CrossOrigin
    @GetMapping("/{id}")
    public User one(@PathVariable Long id) {
        // ...
    }
    
}

再次尝试WebMvcConfigurer，失败

这一次创建一个全局跨域配置CorsConfig，并实现WebMvcConfigurer，测试后发现请求request有接收并在后台处理，但是前端没有接收到response！

/**
 * 跨域配置
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Bean
    public WebMvcConfigurer corsConfigurer()
    {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").
                        allowedOrigins("https://www.dustyblog.cn"). //允许跨域的域名，可以用*表示允许任何域名使用
                        allowedMethods("*"). //允许任何方法（post、get等）
		                allowedHeaders("*"). //允许任何请求头
                        allowCredentials(true). //带上cookie信息
                        exposedHeaders(HttpHeaders.SET_COOKIE).maxAge(3600L); //maxAge(3600)表明在3600秒内，不需要再发送预检验请求，可以缓存该结果
            }
        };
    }
}

再再次尝试Filter，成功

创建一个过滤器CorsFilter实现Filter，验证成功！

@Component
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
        if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
            response.getWriter().println("ok");
            return;
        }
        chain.doFilter(request, response);
    }
    
    @Override
    public void destroy() {
    }
    
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    
}

再再次尝试FilterRegistrationBean，成功

import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * 全局统一配置跨域
 */
@Configuration
public class CorsConfig {
	
	@Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 使用setAllowedOrigin会出现IllegalArgumentException
        config.addAllowedOriginPattern("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

NOTE：使用addAllowedOrigin(*)抛出如下错误，需要变更为上述代码中的addAllowedOriginPattern！

java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" response header. To allow credentials to a set of origins, list them explicitly or consider using "allowedOriginPatterns" instead.

总结

     对比三种实现方案，请求都可以到达后台并进行业务处理，但前两种是卡在了返回response上，而第三种方案过滤器中显式指定response的header属性是可行的！
     感觉有点神奇，然后查了下资料，其中比较有帮助的是这两篇：

• SpringBoot配置CORS解决跨域时的坑
• springboot的@CrossOrigin(“*”)跨域仍然失效
  总结下这两篇文章的核心思想，使用非filter方式时处理跨域的顺序不对，导致跨域设置失效！

ps：查阅文章有的说springboot2.2.0后cors拦截添加到了拦截器的第一位，所以使用本文中三种方法都是ok的，但本文测试环境springboot是2.4.5版本~ 这个问题有待后续调研~~