一、跨域访问
浏览器默认禁止跨域访问,原因:不安全,容易出现CSRF攻击!
Nginx 打开跨域访问
实现原理:
浏览器通过读取判断服务端响应的头信息中的 Access-Control-Allow-Origin 来决定是否允许跨域访问。如果服务端配置了 Access-Control-Allow-Origin 允许跨域访问,客户端则会遵循服务端配置。
1、配置语法
#添加头信息
语法:add_header name value [always];
默认值:无
上下文:http,server,location,if in location
2、配置示例
在server中配置 vim conf.d/default.conf
location ~ .*\.(htm|html)$ {
#add_header Access-Control-Allow-Origin *; #允许所有站点跨域访问
add_header Access-Control-Allow-Origin http://www.sam.com; #只允许http://www.sam.com 跨域访问
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
root /opt/site/sam;
}
二、防盗链
目的:保证信息安全,防止资源被盗用,避免服务器无效的性能损耗。
简单实现
基于http_refer防盗链配置模块。http_refer 存在于http请求头信息中,在nginx中可以通过 $http_referer 获取该变量。
简单配置
#匹配图片资源
location ~ .*\.(jpg|gif|png)$ {
#配置允许访问的refer信息条件
#none: 允许没有带refer信息进行访问
#blocked:允许refer信息不是标准的http协议信息的请求进行访问
#ip或域名:允许该ip或域名进行访问
#使用正则:允许符合正则的请求进行访问
valid_referers none blocked 192.168.0.100 ~/google\./;
if($invalid_referer){ #如果refer无效不符合条件的,则直接返回403
return 403;
}
root /opt/site/sam/images;
}
测试
# 使用curl命令测试
# -e 指定其refer信息
[root@sam ~]# curl -e "http://www.a.com" -I http://192.168.0.100/test.png
HTTP/1.1 403 Forbidden
Server: nginx/1.12.1
Date: Wed, 19 Jul 2017 17:44:00 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive