解决 Spring Boot 后端跨域请求被拦截问题的完整配置指南

聖光之護

发布时间：2026-02-12 15:18:36

357人浏览过

来源于php中文网

原创

解决 Spring Boot 后端跨域请求被拦截问题的完整配置指南

本文详细讲解如何在 spring boot 项目中正确配置 cors，解决 angular 前端（https://www.php.cn/link/cbd35b795565394c06635007e20f1583）调用后端接口（http://localhost:8090）时因预检请求失败导致的 “request header field domain is not allowed” 报错。

在前后端分离开发中，Angular 运行于 https://www.php.cn/link/cbd35b795565394c06635007e20f1583，而 Spring Boot 后端部署在 http://localhost:8090，浏览器会因同源策略（Same-Origin Policy）触发 CORS（跨域资源共享）检查。你遇到的错误：

Access to XMLHttpRequest at 'http://localhost:8090/bites/service/signup' 
from origin 'https://www.php.cn/link/cbd35b795565394c06635007e20f1583' has been blocked by CORS policy: 
Request header field domain is not allowed by Access-Control-Allow-Headers in preflight response.

本质是预检请求（OPTIONS）失败：前端发送了自定义请求头（如 domain），但后端响应中 Access-Control-Allow-Headers 未包含该字段，导致浏览器拒绝后续实际请求。

⚠️ 注意：你当前手动在 Filter 中设置 CORS 响应头的方式存在严重隐患——它未处理预检请求（OPTIONS）的短路逻辑，也未动态匹配或放行自定义请求头（如 domain），更未对 OPTIONS 请求提前返回 200 OK，因此浏览器在预检阶段即中断流程。

✅ 正确做法是优先使用 Spring MVC 内置的 CORS 配置机制，它自动处理预检、响应头注入、请求放行与方法/头白名单校验，安全且健壮。

✅ 推荐方案：使用 @Bean WebMvcConfigurer 全局配置（Spring Boot 2.4+ 推荐）

✅ 适用于 Spring Boot 2.0+（含最新版本），兼容性好、语义清晰、无需手动处理 Filter 生命周期。

@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() { // 注意：Spring Boot 2.4+ 已弃用 WebMvcConfigurerAdapter
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")                     // 匹配所有路径
                        .allowedOrigins("https://www.php.cn/link/cbd35b795565394c06635007e20f1583")  // 明确允许的前端源
                        .allowCredentials(true)                    // 允许携带 Cookie/Authorization
                        .maxAge(3600)                              // 预检结果缓存 1 小时
                        .allowedHeaders("Origin", "X-Requested-With", 
                                      "Content-Type", "Accept", 
                                      "Key", "Authorization", "domain"); // ✅ 关键：显式添加 "domain"
            }
        };
    }
}

? 关键点说明：

传声港

AI驱动的综合媒体服务平台，提供 “媒体发稿 + 自媒体宣发 + 效果监测” 一站式服务

下载

.allowedHeaders(...) 必须精确包含前端实际发送的所有自定义请求头（如 domain），否则预检失败；
.allowCredentials(true) 时，allowedOrigins *不能为 `""**，必须指定具体源（如"https://www.php.cn/link/cbd35b795565394c06635007e20f1583"`）；
addMapping("/**") 支持 Ant 风格路径，也可细化为 .addMapping("/bites/service/**") 提升安全性。

? 备选方案：@CrossOrigin 注解（细粒度控制）

若只需对特定 Controller 或方法开放跨域，可直接注解：

@RestController
@RequestMapping("/bites/service")
@CrossOrigin(
    origins = "https://www.php.cn/link/cbd35b795565394c06635007e20f1583",
    allowCredentials = "true",
    maxAge = 3600,
    allowedHeaders = {"Origin", "X-Requested-With", "Content-Type", "Accept", "Key", "Authorization", "domain"}
)
public class UserController {

    @PostMapping("/signup")
    public ResponseEntity<?> signup(@RequestBody User user) {
        // ...
    }
}

⚠️ 重要注意事项

❌ 不要混用 Filter + WebMvcConfigurer：二者叠加可能导致响应头重复或冲突，优先选择声明式配置；
❌ 避免在 Filter 中硬编码响应头而不拦截 OPTIONS：手动 Filter 需额外判断 request.getMethod().equals("OPTIONS") 并 return，否则业务逻辑仍会执行，造成冗余；
✅ 生产环境务必替换 allowedOrigins：禁止使用 "*"（尤其开启 allowCredentials 时），应配置可信域名白名单（如 https://myapp.com, https://admin.myapp.com）；
?️ 若使用 Spring Security，需确保其未覆盖 CORS 配置——在 SecurityConfig 中添加 .cors(Customizer.withDefaults()) 并确保 CorsConfigurationSource Bean 已注册。

✅ 验证是否生效

启动应用后，向任意接口发起预检请求（如用 curl）：

curl -I -X OPTIONS http://localhost:8090/bites/service/signup \
  -H "Origin: https://www.php.cn/link/cbd35b795565394c06635007e20f1583" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: content-type,domain"

预期响应中应包含：

Access-Control-Allow-Origin: https://www.php.cn/link/cbd35b795565394c06635007e20f1583
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type,domain,...
Access-Control-Allow-Methods: GET,POST,PUT,DELETE,OPTIONS

至此，Angular 的 signup 请求即可成功抵达 Spring Boot 控制器，CORS 问题彻底解决。

什么是并发编程中的锁降级_从写锁降级为读锁的正确流程与意义

Java Socket 文件传输中因未校验剩余字节数导致内容重复的解决方案

Kotlin 文件 I/O 扩展函数的资源管理原理详解

解决 Angular 与 Spring Boot 跨域请求被阻止的问题

Firebase 登录/登出循环问题的根源与解决方案

相关专题

spring框架介绍

本专题整合了spring框架相关内容，想了解更多详细内容，请阅读专题下面的文章。

120

2025.08.06

Java Spring Security 与认证授权

本专题系统讲解 Java Spring Security 框架在认证与授权中的应用，涵盖用户身份验证、权限控制、JWT与OAuth2实现、跨站请求伪造（CSRF）防护、会话管理与安全漏洞防范。通过实际项目案例，帮助学习者掌握如何使用 Spring Security 实现高安全性认证与授权机制，提升 Web 应用的安全性与用户数据保护。

2026.01.26

spring boot框架优点

spring boot框架的优点有简化配置、快速开发、内嵌服务器、微服务支持、自动化测试和生态系统支持。本专题为大家提供spring boot相关的文章、下载、课程内容，供大家免费下载体验。

137

2023.09.05

spring框架有哪些

spring框架有Spring Core、Spring MVC、Spring Data、Spring Security、Spring AOP和Spring Boot。详细介绍：1、Spring Core，通过将对象的创建和依赖关系的管理交给容器来实现，从而降低了组件之间的耦合度；2、Spring MVC，提供基于模型-视图-控制器的架构，用于开发灵活和可扩展的Web应用程序等。

402

2023.10.12

Java Spring Boot开发

本专题围绕 Java 主流开发框架 Spring Boot 展开，系统讲解依赖注入、配置管理、数据访问、RESTful API、微服务架构与安全认证等核心知识，并通过电商平台、博客系统与企业管理系统等项目实战，帮助学员掌握使用 Spring Boot 快速开发高效、稳定的企业级应用。

2025.08.19

Java Spring Boot 4更新教程_Java Spring Boot 4有哪些新特性

Spring Boot 是一个基于 Spring 框架的 Java 开发框架，它通过约定优于配置的原则，大幅简化了 Spring 应用的初始搭建、配置和开发过程，让开发者可以快速构建独立的、生产级别的 Spring 应用，无需繁琐的样板配置，通常集成嵌入式服务器（如 Tomcat），提供“开箱即用”的体验，是构建微服务和 Web 应用的流行工具。

2025.12.22

Java Spring Boot 微服务实战

本专题深入讲解 Java Spring Boot 在微服务架构中的应用，内容涵盖服务注册与发现、REST API开发、配置中心、负载均衡、熔断与限流、日志与监控。通过实际项目案例（如电商订单系统），帮助开发者掌握从单体应用迁移到高可用微服务系统的完整流程与实战能力。

216

2025.12.24

Spring Boot企业级开发与MyBatis Plus实战

本专题面向 Java 后端开发者，系统讲解如何基于 Spring Boot 与 MyBatis Plus 构建高效、规范的企业级应用。内容涵盖项目架构设计、数据访问层封装、通用 CRUD 实现、分页与条件查询、代码生成器以及常见性能优化方案。通过完整实战案例，帮助开发者提升后端开发效率，减少重复代码，快速交付稳定可维护的业务系统。

2026.02.11