什么是跨域问题？后端如何解决跨域问题？

跨域问题是指浏览器为了安全，对不同域（包含不同协议、不同端口或不同主机名）的请求进行限制，从而导致请求无法正常访问后端接口。

跨域问题的产生源于浏览器的同源策略（Same-Origin Policy），这是浏览器为保护用户数据安全而建立的核心安全机制。同源策略规定：只有当两个资源的协议（protocol）、域名（domain）、端口（port） 完全相同时，才属于同一来源，否则视为跨域。

• 跨域场景示例：

  • 前端运行在 http://localhost:8080，后端接口在 http://api.example.com:8081（域名、端口不同）
  • 前端通过 https 访问，后端接口使用 http 协议（协议不同）
  • 前端部署在 www.example.com，后端在 api.example.com（子域名不同）

• 同源策略的安全意义：防止恶意网站通过脚本获取其他网站的用户 Cookie、本地存储等敏感信息，避免 CSRF（跨站请求伪造）、XSS（跨站脚本攻击）等安全风险。

@Configuration  
public class CorsConfig implements WebMvcConfigurer {  @Override  public void addCorsMappings(CorsRegistry registry) {  // 覆盖所有请求  registry.addMapping("/**")  // 允许发送 Cookie                .allowCredentials(true)  // 放行哪些域名（必须用 patterns，否则 * 会和 allowCredentials 冲突）  .allowedOriginPatterns("*")  .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")  .allowedHeaders("*")  .exposedHeaders("*");  }  
}