HTML5跨域请求怎么解决_CORS配置操作说明【详解】

看不見的法師

发布时间：2026-02-24 21:41:40

608人浏览过

来源于php中文网

原创

cors跨域问题本质是浏览器拦截预检请求，需后端显式配置access-control-allow-origin等响应头，前端无法绕过；nginx或spring boot需正确处理options预检，且带credentials时不能用通配符；暴露自定义响应头须设access-control-expose-headers；开发代理仅限本地，上线须切换真实api地址。

html5跨域请求怎么解决_cors配置操作说明【详解】

后端没配 `Access-Control-Allow-Origin`，前端发请求直接被拦

浏览器在跨域时会先发一个 OPTIONS 预检请求，如果响应头里没有正确的 CORS 头，后续的 GET 或 POST 就根本不会发出——你连网络面板都看不到主请求，只看到 OPTIONS 返回 403 或 500。

常见错误现象：Failed to fetch、No 'Access-Control-Allow-Origin' header、控制台报错但后端日志里压根没收到主请求。

必须由后端在响应头中显式设置 Access-Control-Allow-Origin，前端加 mode: 'cors' 或 credentials: 'include' 不会绕过限制
若前端带 cookie（credentials: 'include'），后端不能用通配符 *，必须写明确域名，比如 https://myapp.com
如果用 Nginx 做反向代理，可以在 Nginx 层加头，但要注意：预检请求可能不带 Origin，需用 if ($http_origin) { ... } 判断再添加 CORS 头

Spring Boot 2.4+ 默认不放行 OPTIONS，`@CrossOrigin` 失效

新版本 Spring Boot 把 CORS 预检逻辑收得更紧，仅靠 @CrossOrigin 注解无法覆盖全局 OPTIONS 路径，尤其当接口用了自定义路径前缀或有拦截器时，预检请求可能直接 405。

实操建议：

立即学习“前端免费学习笔记（深入）”；

Peppertype.ai

高质量AI内容生成软件，它通过使用机器学习来理解用户的需求。

下载

优先用配置类方式注册 CorsConfigurationSource，而不是只依赖注解
确保 allowedOrigins 包含前端实际地址（开发环境常用 http://localhost:3000），不要漏掉协议和端口
如果用了 Spring Security，必须在安全配置里显式调用 http.cors()，否则安全链会拦截预检请求

示例关键代码：

@Bean
CorsConfigurationSource corsConfigurationSource() {
  CorsConfiguration config = new CorsConfiguration();
  config.setAllowedOrigins(Arrays.asList("http://localhost:3000"));
  config.setAllowCredentials(true);
  config.addAllowedMethod("GET");
  config.addAllowedMethod("POST");
  UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
  source.registerCorsConfiguration("/**", config);
  return source;
}

前端 fetch 带 `credentials: 'include'` 却拿不到响应头

即使后端正确返回了 Access-Control-Allow-Origin 和 Access-Control-Expose-Headers，前端依然读不到自定义响应头（比如 X-Request-ID），是因为默认只暴露基础字段（Cache-Control、Content-Language 等）。

原因很直接：浏览器策略限制。不显式声明，就不可读。

后端必须额外设置 Access-Control-Expose-Headers，把要暴露的字段列全，多个用逗号分隔，例如：X-Request-ID, X-RateLimit-Remaining
前端 fetch 中即使写了 credentials: 'include'，也不影响响应头暴露范围；暴露与否完全取决于后端这个响应头
注意大小写：HTTP 头名是大小写不敏感的，但 expose 列表里写成 x-request-id 也能生效，不过统一用 PascalCase 更稳妥

开发环境用代理绕过 CORS，上线后忘了关导致请求发错地址

Vue CLI、Vite、Create React App 都支持 proxy 配置，本地跑起来没问题，但打包后这个配置彻底失效——它只是开发服务器的功能，不是运行时逻辑。

典型翻车场景：开发时所有 API 走 /api/xxx，代理到 http://localhost:8080；上线后没改请求地址，结果前端拼命往自己域名下发 /api/xxx，404 一地。

代理配置只在 devServer 或 vite.config.ts 的 server.proxy 里生效，构建产物里不存在
上线前务必检查请求 base URL：开发用相对路径或变量注入，别硬编码 /api 后又依赖代理
推荐做法：用环境变量区分 baseURL，例如 VITE_API_BASE_URL=https://api.example.com，代码里统一读取，避免混用代理和真实地址

CORS 的核心从来不在前端怎么写 fetch，而在于每个环节是否对齐了“谁发、发给谁、带什么、允许谁读”。最容易被忽略的是预检请求的生命周期——它独立于主请求存在，失败了主请求根本不会出发，而很多人只盯着主请求的报错看。

如何在 Chrome 中正确使用 window.open() 创建并写入新窗口

如何创建语义化、可访问且行为可靠的自定义 HTML 元素

如何正确右对齐 HTML 导航栏而不反转元素顺序

HTML 导航栏右对齐时元素顺序翻转的解决方案

PHP购物车中移除商品后首项丢失的修复教程

HTML速学教程(入门课程)

HTML怎么学习？HTML怎么入门？HTML在哪学？HTML怎么学才快？不用担心，这里为大家提供了HTML速学教程(入门课程)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

spring框架介绍

本专题整合了spring框架相关内容，想了解更多详细内容，请阅读专题下面的文章。

144

2025.08.06

Java Spring Security 与认证授权

本专题系统讲解 Java Spring Security 框架在认证与授权中的应用，涵盖用户身份验证、权限控制、JWT与OAuth2实现、跨站请求伪造（CSRF）防护、会话管理与安全漏洞防范。通过实际项目案例，帮助学习者掌握如何使用 Spring Security 实现高安全性认证与授权机制，提升 Web 应用的安全性与用户数据保护。

2026.01.26

nginx 重启

nginx重启对于网站的运维来说是非常重要的，根据不同的需求，可以选择简单重启、平滑重启或定时重启等方式。本专题为大家提供nginx重启的相关的文章、下载、课程内容，供大家免费下载体验。

240

2023.07.27

nginx 配置详解

Nginx的配置是指设置和调整Nginx服务器的行为和功能的过程。通过配置文件，可以定义虚拟主机、HTTP请求处理、反向代理、缓存和负载均衡等功能。Nginx的配置语法简洁而强大，允许管理员根据自己的需要进行灵活的调整。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

519

2023.08.04

nginx配置详解

NGINX与其他服务类似，因为它具有以特定格式编写的基于文本的配置文件。本专题为大家提供nginx配置相关的文章，大家可以免费学习。

567

2023.08.04

tomcat和nginx有哪些区别

tomcat和nginx的区别：1、应用领域；2、性能；3、功能；4、配置；5、安全性；6、扩展性；7、部署复杂性；8、社区支持；9、成本；10、日志管理。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

243

2024.02.23

nginx报404怎么解决

当访问 nginx 网页服务器时遇到 404 错误，表明服务器无法找到请求资源，可以通过以下步骤解决：1. 检查文件是否存在且路径正确；2. 检查文件权限并更改为 644 或 755；3. 检查 nginx 配置，确保根目录设置正确、没有冲突配置等等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

584

2024.07.09