正确配置Access-Control-Allow-Origin,千万不要设置成*

最新推荐文章于 2024-05-03 21:50:02 发布
最新推荐文章于 2024-05-03 21:50:02 发布
阅读量8w 收藏 77
点赞数 20
分类专栏: web后端 文章标签: nginx 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baijiafan/article/details/126501682
版权

随着前后台架构的兴起,以及各种小程序、客户端等异地前端的部署架构,相信大家都经常会遇到CORS问题,CORS问题会阻止后台数据的正常返回,如果你搜索相关错误,你会遇到很多教程,教你修改Access-Control-Allow-Origin,解决CORS问题。

那这里我要多说一句,如果搜到的方案是让你把Access-Control-Allow-Origin配置成*,请不要这么做,至少在生产环境不要这么做。

Access-Control-Allow-Origin配置成*什么意思?意思是允许任意网站跨域访问该服务端口,在这种情况下,任意一个前端程序都可以随意集成该端口内容,实现数据获取。

那正确的方法是什么呢?应该配置成为你允许的网站。例如百家饭的域名是rongapi.cn,访问方式是https,那就应该是https://rongapi.cn/,最保险的获取该地址的方式是打开你的前端调试窗口,查看任意网络请求中标头里面origin的内容,如下图,请注意,有些地方会说要用referer的值,但是从下图我们可以看出,origin这个值和referer的值是不同的。

 那我们拿到这个origin的值,配置到Access-Control-Allow-Origin里面是完全没有问题的。

配置Access-Control-Allow-Origin的方法

配置Access-Control-Allow-Origin的地点可以有很多,在通常的负载均衡-Web服务器架构中,我们推荐可以在nginx配置中完成该配置。配置方法是在server段内或者location段内,添加

add_header 'Access-Control-Allow-Origin' 'xxxxx';

注意,配置成多域名不可以

那如果我们的业务域名是多个域名应该怎么办呢,我们在搜索该解决方案的时候,有时候会遇到有方案讲,把多个域名同时添加到header里面,但是这个方案经测试已经过期或者不是一个正确方案。

正确的nginx配置方式是先测试http_origin是否符合要求,如果符合,将用户传入的http_origin填入中。

例如

location / {
    if ($http_origin ~* "^https?://(rongapi.cn|www.rongapi.cn)$") {
        add_header Access-Control-Allow-Origin "$http_origin";
    }
}

这里用的是正则表达式,当然直接使用=或者!=比较字符串也可以。

其他CORS常见的错误

post出错,get不出错

大量现代浏览器似乎会在post之前传输一个options来确认服务器行为,该现象在ios和android之间不统一。

如果你的web服务器没有能够处理该行为的关联关系,可能会出现get接口都是好的,但是post出错的情况,这时,我们需要为options操作配置一个特殊的返回结构,例如我们用到的(从网上摘抄)

if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        #
        # Om nom nom cookies
        #
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        #
        # Custom headers and headers various browsers *should* be OK with but aren't
        #
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        #
        # Tell client that this pre-flight info is valid for 20 days
        #
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;
        return 204;
     }

Options因为只是预请求,所以我们就不用麻烦去配 Access-Control-Allow-Origin了,反正正式请求的时候再判断也可以。

百家饭OpenAPI
关注
  • 20
    点赞
  • 77
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java设置Access-Control-Allow-Origin允许多域名访问的实现方法
08-26
主要介绍了Java设置Access-Control-Allow-Origin允许多域名访问的实现方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
谷歌跨域插件 Allow-Control-Allow-Origin
11-16
资源包含两个文件类型的扩展程序 allow-control-allow-origin.crx 和 allow-control-allow-origin.zip 安装说明: 1. 请把 allow-control-allow-origin.crx 文件直接拖拉到扩展程序界面进行安装即可; 2. 如果浏览器显示程序包无效,可能浏览器版本导致的。请参考第三步; 3. 请把 allow-control-allow-origin.zip 文件直接拖拉到扩展程序界面进行安装即可。
Nginx配置跨域请求 Access-Control-Allow-Origin *
橘导的博客
04-22 1307
当出现403跨域错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource。
Cors跨域(三):Access-Control-Allow-Origin多域名?
架构师:通透,才能写出好代码!
06-21 1万+
响应头设置不合理,公司安全部门会请你喝茶
踩坑记录之遇到跨域问题如何设置Access-Control-Allow-Origin
u011425993的博客
08-10 1464
遇到跨域问题如何设置Access-Control-Allow-Origin
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
wangzuao的博客
06-14 1万+
例如:A服务器是liunx系统部署了一个java程序,B服务器是本地服务器,A服务器需要请求访问B服务器的资源,可以用nginx代理来请求到B服务器的资源。链接: nginx步骤:下载完成后安装运行在A服务器上面,先运行看看有没有问题,这里不细说,然后找到开始配置nginx.conf文件(重点) 一、如何配置你的nginx.conf 添加一个server{},这是你的服务,listen参数是你要监听的端口,这个端口可以自定义,server_name localhost,这个一般就是A服务器的域名地址,记
错误Access-Control-Allow-Origin原因及解决方法
qq_39842253的博客
04-03 1万+
原因:游览器有同源策略的限制,阻止你使用JavaScript从跟你不同源的网站(别人的网站服务器)获取数据 解决方法:让提供数据的服务器,通过HTTP响应头设置Access-Control-Allow-Origin -> ‘*’ 只是让游览器忽略,跟服务器逻辑无关 跨域取数据 ...
【跨域】Access-Control-Allow-Origin 简单介绍
Milk~每天分享一点点,技术进步一点点
08-04 9278
概念 Access-Control-Allow-Origin是HTML5中定义的一种解决资源跨域的策略。 他是通过服务器端返回带有Access-Control-Allow-Origin标识的Response header,用来解决资源的跨域权限问题。 使用方法 在response添加 Access-Control-Allow-Origin,例子: 一、Access-Control-Allow-Origin:www.google.com www.google.com是访问的域名,根据实际情况设置。 二、
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置跨域请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的跨域行为。...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
01-10
add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = '...
Allow CORS Access-Control-Allow-0.1.9.zip
12-26
名称:Allow CORS Access-Control-Allow ---------------------------------------- 版本:0.1.9 作者:Muyor 分类:生产工具 ---------------------------------------- 概述:轻松将(Access-Control-Allow-Origin...
SpringBoot跨域Access-Control-Allow-Origin实现解析
08-25
SpringBoot 跨域 Access-Control-Allow-Origin 实现解析 SpringBoot 跨域 Access-Control-Allow-Origin 实现解析是指在 SpringBoot 框架中解决跨域问题的方法。跨域是指不同域名之间相互访问,浏览器不能执行其他...
Access-Control-Allow-Origin如何给CORS设置多域名
weixin_57208584的博客
11-06 4064
作为通配符来说,直接变成对所有域名公开,非常的不安全。那如何设置特定的多个域名?Vary:<header1> , <header2>... 某些字段进行缓存。因此,响应现支持字段Vary,其可以对报文中某个字段的缓存进行控制。Vary: * 所有字段都不进行缓存。控制哪些域名可以共享资源,取值如下。
Access-Control-Allow-Origin 解决跨域权限问题
程序员
07-24 760
Nginx 解决办法: add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; 将这段代码添加到 http{} 或者静态资源
VUE3 解决跨域问题 Access-Control-Allow-Origin_vue access-control-allow-origin
qq_58071132的博客
04-15 692
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
正确解决No ‘Access-Control-Allow-Origin’ header is present on the requested resource异常的有效解决方法
最新发布
wbajsjhhhhh的博客
05-03 7537
正确解决No ‘Access-Control-Allow-Origin’ header is present on the requested resource异常的有效解决方法
nginx配置access-control-allow-origin
07-15
### 回答1: 在Nginx配置access-control-allow-origin是为了解决跨域访问的问题。 首先,需要在Nginx配置文件中添加以下代码: ```nginx location / { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; if ($request_method = 'OPTIONS') { add_header Access-Control-Max-Age 1728000; add_header Content-Type text/plain; add_header Content-Length 0; return 204; } } ``` 上述配置代码中,Access-Control-Allow-Origin设置为*,表示允许所有源进行访问。如果希望只允许特定的域名访问,可以将*更改为相应的域名。 Access-Control-Allow-Methods用于设置支持的请求方法,如GET、POST和OPTIONS等。 Access-Control-Allow-Headers设置支持的请求头,如DNT、Content-Type等。 如果请求方法是OPTIONS,表示发送的是预检请求(preflight request),那么需要在返回头中加入Access-Control-Max-Age、Content-Type和Content-Length等相关信息,并返回状态码204。 以上配置代码应该添加到需要解决跨域问题的站点的Nginx配置文件中,完成后重新加载Nginx配置即可生效。 通过上述配置,实现了在Nginx配置access-control-allow-origin,解决了跨域访问的问题。通过设置允许的域名、请求方法和请求头,可以确保安全且合法的跨域访问。 ### 回答2: access-control-allow-origin是一种跨域资源共享(CORS)机制,在nginx配置该功能可以允许指定的域名访问服务器资源。 要配置access-control-allow-origin,首先需要编辑nginx配置文件。通常,该文件位于/etc/nginx/nginx.conf。 在配置文件中找到相应的location块,该块用于指定需要配置access-control-allow-origin的路径。在该location块中,可以添加以下配置项来配置access-control-allow-origin: 1. 添加add_header设置access-control-allow-origin值为指定的域名。例如,可以使用以下配置项: ``` location /api { add_header Access-Control-Allow-Origin example.com; } ``` 这样配置后,只有来自example.com域名的请求才能访问/api路径下的资源。 2. 如果希望允许任意域名访问,可以使用通配符*作为access-control-allow-origin的值: ``` location /api { add_header Access-Control-Allow-Origin *; } ``` 这样配置后,所有域名的请求都可以访问/api路径下的资源。 3. 可以使用变量来动态设置access-control-allow-origin的值。例如,可以使用$http_origin变量来获取请求中的Origin头,并将其作为access-control-allow-origin的值: ``` location /api { add_header Access-Control-Allow-Origin $http_origin; } ``` 这样配置后,将会允许请求中的Origin头所指定的域名访问/api路径下的资源。 配置完成后,需要重新加载nginx配置文件,使配置生效。可以使用命令sudo service nginx reload或sudo systemctl reload nginx来重新加载配置文件。 通过以上配置nginx可以实现access-control-allow-origin的功能,从而允许指定的域名跨域访问服务器资源。 ### 回答3: access-control-allow-origin是一个用于跨域资源共享(CORS)的HTTP响应头部字段,用于指示服务器允许哪些域名的网页可以访问当前网站的资源。 在nginx配置access-control-allow-origin的方法如下: 1. 打开nginx配置文件,一般路径是/etc/nginx/nginx.conf。 2. 在http块下添加以下代码: ```nginx http { ... server { ... location / { # 允许指定域名跨域访问 add_header Access-Control-Allow-Origin http://example.com; # 或者允许所有域名跨域访问 add_header Access-Control-Allow-Origin *; ... } ... } ... } ``` 这里的http://example.com是一个示例域名,可以根据实际需求修改为需要允许跨域访问的域名。 3. 保存配置文件并重新启动nginx服务。 配置完成后,服务器将在响应头中添加Access-Control-Allow-Origin字段,并根据配置的域名来限制跨域访问。如果配置了具体的域名,只有来自该域名的请求才能成功访问当前网站的资源;如果配置了通配符`*`,则任何域名都可以访问当前网站的资源。 值得注意的是,配置access-control-allow-origin只是服务器端的配置,在服务端返回响应时决定是否允许跨域访问,而不是由客户端控制。这样可以有效地保护服务器的安全性,防止恶意网站滥用跨域资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

百家饭OpenAPI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值