vue2和vue3跨域解决方案
Vue 2 (基于 Webpack) 的跨域解决方案
1. 创建或编辑 vue.config.js 文件
Vue CLI为Webpack项目提供了简单的代理配置方式。你可以通过创建或编辑项目的根目录下的 vue.config.js 文件来设置开发服务器的代理规则:
// vue.config.js
module.exports = {
devServer: {
proxy: {
'/api': { // 代理路径前缀
target: 'http://backend.example.com', // 后端API的地址
changeOrigin: true, // 更改请求源
pathRewrite: { '^/api': '' }, // 重写路径,去掉/api前缀
secure: false, // 如果后端是HTTPS,则设置为true,默认false
logLevel: 'debug' // 设置日志级别,方便调试
}
}
}
};2. 修改前端请求代码
确保你的前端请求都通过 /api 前缀发送,这样它们会被正确代理到后端服务器:
// 在Vue组件或API服务中
import axios from 'axios';
export function fetchDepartments() {
return axios.get('/api/depts')
.then(response => response.data)
.catch(error => console.error('There was an error!', error));
}Vue 3 (基于 Vite) 的跨域解决方案
Vite使用了一种不同的方式来处理开发服务器的代理配置。它没有像Webpack那样内置的代理配置选项,但可以通过修改 vite.config.js 来实现相同的功能。
使用 Vite 的代理配置
1. 创建或编辑 vite.config.js 文件
你需要在 vite.config.js 中定义一个 server.proxy 属性:
// vite.config.js
import { defineConfig } from 'vite';
import vue from '@vitejs/plugin-vue';
export default defineConfig({
plugins: [vue()],
server: {
proxy: {
'/api': {
target: 'http://backend.example.com',
changeOrigin: true,
rewrite: (path) => path.replace(/^\/api/, ''),
},
},
},
});2. 修改前端请求代码
同Vue 2一样,确保所有对后端的请求都通过 /api 前缀来发送:
// 在Vue组件或API服务中
import axios from 'axios';
export function fetchDepartments() {
return axios.get('/api/depts')
.then(response => response.data)
.catch(error => console.error('There was an error!', error));
}Spring Boot 中的 CORS 配置详解
方法 1:使用 @CrossOrigin 注解(局部配置)
@CrossOrigin 注解是最简单的方式,适用于需要为特定控制器或方法启用CORS的情况。你可以通过在控制器类或方法上添加这个注解来实现。
局部配置示例
// src/main/java/com/example/demo/controller/MyController.java
package com.example.demo.controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.http.ResponseEntity;
import java.util.Arrays;
import java.util.List;
@RestController
@RequestMapping("/api/depts")
@CrossOrigin(origins = "https://example.com", maxAge = 3600) // 允许的源及缓存时间
public class MyController {
@GetMapping
public ResponseEntity<List<String>> getDepts() {
List<String> depts = Arrays.asList("HR", "Finance", "IT");
return ResponseEntity.ok(depts);
}
}注意事项
origins:指定允许的源。maxAge:预检请求的结果可以被缓存的时间(以秒为单位)。allowedHeaders:可选,指定允许的HTTP头。methods:可选,指定允许的HTTP方法。exposedHeaders:可选,指定哪些响应头可以暴露给浏览器。allowCredentials:是否允许凭证(如Cookies)。如果设置为true,则不能使用通配符*作为源。
完整注解参数
@CrossOrigin(
origins = {"https://example.com"},
methods = {RequestMethod.GET, RequestMethod.POST},
allowedHeaders = {"Authorization", "Content-Type"},
exposedHeaders = {"X-Custom-Header"},
allowCredentials = "true",
maxAge = 3600
)方法 2:全局配置 CORS(WebMvcConfigurer)
如果你想要为所有端点配置CORS,或者定义多个CORS配置,可以通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来进行全局配置。
全局配置示例
// src/main/java/com/example/demo/config/WebConfig.java
package com.example.demo.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**") // 匹配所有路径
.allowedOrigins("https://example.com") // 允许的源
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允许的HTTP方法
.allowedHeaders("*") // 允许的HTTP头
.allowCredentials(true) // 是否允许凭证
.maxAge(3600); // 预检请求结果缓存时间(秒)
}
}注意事项
allowedOrigins:指定允许的源,可以是一个具体的URL,也可以是通配符*表示允许所有源。但是,如果你启用了凭证共享 (allowCredentials=true),则不能使用通配符*。allowedMethods:指定允许的HTTP方法。allowedHeaders:指定允许的HTTP头。allowCredentials:如果设置为true,则意味着响应将包含Access-Control-Allow-Credentials头,这会告诉浏览器是否允许发送凭证信息(例如cookies)。如果启用了凭证,则不能将allowedOrigins设置为*。maxAge:预检请求的结果可以被缓存的时间(以秒为单位)。
多路径配置示例
如果你需要为不同路径设置不同的CORS规则,可以在 addCorsMappings 方法中注册多个映射:
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("https://example.com")
.allowedMethods("GET", "POST")
.allowedHeaders("Authorization", "Content-Type")
.allowCredentials(true)
.maxAge(3600);
registry.addMapping("/admin/**")
.allowedOrigins("https://admin.example.com")
.allowedMethods("GET", "POST", "PUT", "DELETE")
.allowedHeaders("*")
.allowCredentials(false)
.maxAge(3600);
}方法 3:通过 CorsFilter 配置
对于更复杂的场景,比如你需要对不同的路径应用不同的CORS规则,或者你希望在应用程序启动时就注册CORS过滤器,你可以创建一个 CorsConfigurationSource 并注册一个 CorsFilter。
自定义 CorsFilter 示例
// src/main/java/com/example/demo/config/CorsConfig.java
package com.example.demo.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
// Path 1: /api/*
CorsConfiguration apiConfig = new CorsConfiguration();
apiConfig.setAllowCredentials(true);
apiConfig.addAllowedOrigin("https://example.com");
apiConfig.addAllowedHeader("Authorization");
apiConfig.addAllowedHeader("Content-Type");
apiConfig.addAllowedMethod("GET");
apiConfig.addAllowedMethod("POST");
source.registerCorsConfiguration("/api/**", apiConfig);
// Path 2: /admin/*
CorsConfiguration adminConfig = new CorsConfiguration();
adminConfig.setAllowCredentials(false);
adminConfig.addAllowedOrigin("https://admin.example.com");
adminConfig.addAllowedHeader("*");
adminConfig.addAllowedMethod("*");
source.registerCorsConfiguration("/admin/**", adminConfig);
return new CorsFilter(source);
}
}多路径配置示例
如果你有多个路径需要不同的CORS规则,可以在 UrlBasedCorsConfigurationSource 中注册多个配置:
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
// Path 1: /api/*
CorsConfiguration apiConfig = new CorsConfiguration();
apiConfig.setAllowCredentials(true);
apiConfig.addAllowedOrigin("https://example.com");
apiConfig.addAllowedHeader("Authorization");
apiConfig.addAllowedHeader("Content-Type");
apiConfig.addAllowedMethod("GET");
apiConfig.addAllowedMethod("POST");
source.registerCorsConfiguration("/api/**", apiConfig);
// Path 2: /admin/*
CorsConfiguration adminConfig = new CorsConfiguration();
adminConfig.setAllowCredentials(false);
adminConfig.addAllowedOrigin("https://admin.example.com");
adminConfig.addAllowedHeader("*");
adminConfig.addAllowedMethod("*");
source.registerCorsConfiguration("/admin/**", adminConfig);
return new CorsFilter(source);
}高级配置选项
1. 处理凭证共享
当你需要处理凭证(如Cookies)时,确保正确设置了 allowCredentials 和 allowedOrigins。记住,如果启用了凭证共享,你不能使用通配符 * 作为允许的源。
config.setAllowCredentials(true);
config.addAllowedOrigin("https://example.com"); // 必须明确指定源2. 处理复杂头部
有时你需要处理特定的HTTP头部,而不是简单的通配符。你可以通过 setAllowedHeaders 方法来指定允许的头部。
config.addAllowedHeader("Authorization");
config.addAllowedHeader("Content-Type");3. 处理多种来源
如果你有多个允许的来源,可以使用 setAllowedOrigins 方法来添加多个源。
config.addAllowedOrigin("https://example.com");
config.addAllowedOrigin("https://anotherdomain.com");4. 处理预检请求
预检请求(Preflight Requests)是在某些跨域请求之前由浏览器自动发送的,用于检查服务器是否允许实际请求。你可以通过 setAllowCredentials 和 setMaxAge 来控制这些行为。
config.setAllowCredentials(true);
config.setMaxAge(3600L); // 缓存预检请求结果的时间(秒)5. 暴露特定响应头
有时候你需要让客户端能够访问某些特定的响应头。你可以通过 setExposedHeaders 方法来指定这些响应头。
config.setExposedHeaders(Arrays.asList("X-Custom-Header"));生产环境下的解决方案
1. 使用 Nginx 反向代理
Nginx 是一个高性能的HTTP和反向代理服务器,它可以帮助你将前端请求转发到后端API服务器,同时处理跨域问题。通过这种方式,你可以确保所有的请求都来自同一个域名,从而避免浏览器的同源策略限制。
Nginx 配置示例
假设你的前端应用部署在 http://example.com,而后端API位于 http://backend.example.com。你可以使用Nginx来设置反向代理:
# /etc/nginx/sites-available/example.com
server {
listen 80;
server_name example.com www.example.com; # 支持example.com和www.example.com访问
# SSL重定向(可选),如果你有SSL证书并想强制HTTPS连接
# if ($scheme = http) {
# return 301 https://$host$request_uri;
# }
root /var/www/html/dist; # 设置默认的根目录,用于整个server块
location / {
try_files $uri $uri/ /index.html; # 对于所有请求尝试匹配文件或目录,否则返回index.html以支持前端路由
}
location ^~ /api/ # 表示如果请求的 URI 以 /api/ 开头,则匹配该 location 块。 {
rewrite ^/api/(.*)$ /$1 break; # 将所有以 /api/ 开头的请求(例如 /api/user)重写为去掉 /api/ 的路径(例如 /user)。
proxy_pass http://backend.example.com; # 将/api/开头的请求转发给后端API服务器
proxy_set_header Host $host; # 设置Host头信息为原始请求的Host
proxy_set_header X-Real-IP $remote_addr; # 设置X-Real-IP头信息为客户端的真实IP地址
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 添加X-Forwarded-For头信息包含客户端IP
proxy_set_header X-Forwarded-Proto $scheme; # 设置X-Forwarded-Proto头信息为请求协议(HTTP或HTTPS)
# 如果你的后端需要知道请求是通过HTTPS来的,则确保这个头信息被正确传递
# 如果使用了负载均衡器或反向代理链,可能需要调整此设置
}
# 错误页面定制(可选)
error_page 404 /custom_404.html;
location = /custom_404.html {
internal; # 只能由内部重定向到达,不能直接访问
}
# 日志格式(可选)
access_log /var/log/nginx/example.com.access.log combined;
error_log /var/log/nginx/example.com.error.log;
# 其他安全相关的设置(可选)
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
# 对静态资源进行缓存(可选)
location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
expires max;
log_not_found off;
}
}步骤:
-
安装 Nginx(如果尚未安装):
sudo apt update sudo apt install nginx -
配置 Nginx:
- 创建或编辑
/etc/nginx/sites-available/example.com文件。 - 使用上述配置示例进行修改,确保路径和域名正确。
- 创建或编辑
-
启用站点配置:
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/ -
测试配置并重启 Nginx:
sudo nginx -t sudo systemctl restart nginx -
部署前端静态文件:
- 将Vue构建后的静态文件放置在
/var/www/html/dist目录下。
- 将Vue构建后的静态文件放置在
-
确保后端API服务器正常运行:
- 确认
http://backend.example.com可以访问,并且API服务正常工作。
- 确认
2. 前后端部署在同一域名下
如果可能的话,将前后端部署在同一域名下是解决跨域问题的最佳实践之一。这样做可以完全避免跨域问题,因为所有请求都来自同一源。
示例:
- 前端:部署在
https://example.com - 后端API:部署在
https://api.example.com
如果你使用的是子域名(如 api.example.com),你可以通过DNS配置和SSL证书来确保它们被视为同一源。另外,也可以考虑将API路由集成到主域名中(例如 https://example.com/api)。
