微服务架构中,前端请求后端服务时常因域名、端口或协议不同而触发浏览器的同源策略限制,导致跨域问题。解决这类问题的核心是正确配置跨域资源共享(CORS)。以下是常见的配置方式和最佳实践。
1. 在网关层统一配置CORS
多数微服务系统使用API网关(如Spring Cloud Gateway、Zuul、Nginx)作为入口。在网关层统一设置CORS可以避免每个服务重复配置。
以Spring Cloud Gateway为例:
在application.yml中添加全局CORS配置: spring: cloud: gateway: globalcors: add-to-simple-url-handler-mapping: true cors-configurations: '[/**]': allowedOrigins: "http://localhost:3000" allowedMethods: "*" allowedHeaders: "*" allowCredentials: true这样所有经过网关的请求都会带上正确的CORS响应头。
2. 在具体微服务中启用CORS
若未使用网关,或需对特定服务做精细控制,可在各微服务中单独配置。
Spring Boot应用示例:
通过Java配置类开启CORS: @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOriginPatterns("http://localhost:*") .allowedMethods("*") .allowedHeaders("*") .allowCredentials(true); } }; } }注意:Spring Boot 2.4+推荐使用allowedOriginPatterns替代allowedOrigins以支持通配符。
3. 处理预检请求(Preflight)
当请求包含自定义头或使用PUT、DELETE等方法时,浏览器会先发送OPTIONS请求进行预检。确保服务能正确响应OPTIONS请求。
在Spring中,上述配置已自动处理OPTIONS请求。若使用Nginx代理,需手动添加支持:
Nginx配置片段: location / { add_header Access-Control-Allow-Origin "http://localhost:3000"; add_header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"; add_header Access-Control-Allow-Headers "Content-Type, Authorization"; if ($request_method = OPTIONS) { return 204; } }4. 安全注意事项
CORS配置不当可能带来安全风险,需注意以下几点:
避免使用*通配符作为allowedOrigins,尤其在allowCredentials为true时 生产环境应明确列出可信的前端域名 敏感接口建议结合Token验证,不依赖CORS作为唯一防护 定期审查CORS策略,防止过度开放基本上就这些。合理配置CORS能让微服务与前端顺畅通信,同时保障安全性。关键是根据架构选择集中式或分布式配置,并始终遵循最小权限原则。
