Nginx(15)-快速解决CORS问题

已于 2023-12-27 18:21:20 修改
阅读量1.5k 收藏 2
点赞数 1
分类专栏: 精通Nginx 文章标签: nginx 运维
于 2023-11-20 08:00:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidwkx/article/details/134192233
版权

        CORS是一个W3C标准,全称是跨域资源共享(Cross-Origin Resource Sharing)。它允许浏览器向跨源服务器,发出XML HttpRequest(XHR) 或Fetch API跨域 HTTP 请求,从而克服了同源使用的限制。

        CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,整个 CORS 通信过程,浏览器自动完成,不需要用户参与。CORS 对开发者透明,CORS 通信与同源的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨源,就会自动添加一些附件的头信息,有时还会多处一次附件的请求,但用户不会有感觉。

目录

CORS机制

同源策略

CORS请求分类

简单请求CORS处理

非简单请求CORS处理

CORS相关头字段

Nginx的CORS配置

CORS机制

同源策略

        同源策略是一个重要的web安全策略,它用于限制一个源的资源如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

        同源指两个 URL 的协议(Protocol)、主机(Host)、端口(Port)都相同,否则是不同源的。例如:

# 下面两个同源
http://www.example.com/a
http://www.example.com/b
# 同上不同源情况
# 协议不同
https://www.example.com/a
# 域名不同
http://trial.example.com/a
# 端口不同
http://www.example.com:8080/a

        不同源的请求就需要CORS支持。 

CORS请求分类

        浏览器将 CORS 请求分成两类:简单请求和非简单请求。

        简单请求是http请求同时满足以下条件的http请求:

  1. 请求方法是以下三种之一:HEAD、GET、POST
  2. HTTP 的头信息不超出以下几种字段:Accept、Accept-Language、Content-Language、Content-Type、DPR、Downlink、Save-Data、Viewport-Width、Width
  3. Content-Type 的值仅限于三种之一:text/plain、multipart/form-data、application/x-www-form-urlencoded

        不是简单请求,就只能是 非简单请求

简单请求CORS处理

简单请求跨域处理过程:

1、浏览器直接发出 CORS 请求。在头信息之中,增加一个 Origin 字段,用来说明本次请求来自哪个源(协议 + 主机 + 端口)。

2、服务器接收到请求,查看Origin 指定的源,如果在许可范围内,服务器会返回一个正确的 HTTP 响应,在响应头加入Access-Control-Allow-Origin字段。否则,服务器会返回 HTTP 响应则不包含Access-Control-Allow-Origin字段

3、浏览器收到响应头,判断响应头是否包含Access-Control-Allow-Origin字段,包含且值正确,那就正常处理,否则就抛出CORS错误

非简单请求CORS处理

        非简单请求的 CORS 请求,相对于简单请求,会在正式通信之前,增加一次 HTTP 查询请求,即预检请求(preflight):浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些 HTTP 方法和头信息字段。只有得到肯定答复,浏览器才会发出正式的 XMLHttpRequest 请求,否则就报错。

        “预检请求”用的请求方法是 OPTIONS,表示这个请求是用来询问的。头信息包括如下变量:

  • Origin:必须字段。来说明本次请求来自哪个源(协议 + 主机 + 端口)
  • Access-Control-Request-Method:必须字段,用来列出浏览器的 CORS 请求会用到哪些 HTTP 方法。
  • Access-Control-Request-Headers:可选字段(内容是逗号分隔的字符串),指定浏览器 CORS 请求会额外发送的头信息字段。
  • Access-Control-Max-Age:预检请求结果缓存有效期。有效期内,CORS请求不需再发预检请求,直接使用缓存数据。如果不缓存,则每次都会发送预检请求。

        服务器收到“预检请求”以后,检查了 Origin、Access-Control-Request-Method 和 Access-Control-Request-Headers 字段以后,确认允许跨域请求,就可以做出回应。如果服务器否定了“预检请求”,会返回一个正常的 HTTP 回应,但是没有任何的 CORS 相关的头信息字段。这是,浏览器就认定,服务器不同意预检请求,因此触发一个错误。

CORS相关头字段

 Access-Control-Allow-Origin :支持CORS的必须字段。值要么是请求时 Origin 字段的值,要么是一个 *,表示接受任意的源(域名)的请求。

Access-Control-Allow-Credentials:可选字段。值为布尔值,表示是否允许请求发送 Cookie。默认情况下,Cookie 不包括在 CORS 请求之中。设为 true,即表示服务器明确许可,Cookie 可以包含在请求中,一起发给服务器。如果发送Cookie真正起作用,还需满足:

1、必须在 客户端请求中打开 withCredentials 属性:xhr.withCredentials = true。否则,即使服务器同意发送 Cookie,浏览器也不会发送。

2、Access-Control-Allow-Origin 就不能设为 *,必须指定明确的、与请求网页一致的域名。同时,Cookie 依然遵循同源策略,只有用服务器域名设置的 Cookie 才会上传,其他域名的 Cookie 并不会上传,且(跨源)原网页代码中的 document.cookie 也无法读取服务器域名下的 Cookie。

Access-Control-Allow-Headers:前端向后端传递数据时,除默认请求头字段外,可通过该字段给出的字段来传递。默认包含请求头字段有:Accept, Accept-Language, Content-Language, Content-Type(只接受:application/x-www-form-urlencoded、multipart/form-data 或 text/plain 这三种 MIME 类型。)

Access-Control-Expose-Headers:可选字段。CORS 请求时,后端向前端传递数据时(getResponseHeader() 方法只能获取),除默认响应头字段外,可通过该头字段给出的字段来传递。默认包含响应头字段有:: Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma。字段值可以配置为通配符“*”(不包括Authorization),但请求不能携带凭据(请求没有Cookie或认证信息),否则,就成了普通字符“*”。

Nginx的CORS配置

Nginx支持跨域请求配置,示例配置如下:

# cors请求方法分组,结果记录到$cors_method
map $request_method $cors_method {
    GET 1;
    POST 1;
    OPTIONS 11;  # 预检请求方法
    default 0; # 非前面三种请求方法,不做处理
}
server {
    location / {
        # 简单请求
        if ($cors_method = '1') {
            add_header 'Access-Control-Allow-Origin'  '*.example.com';
            add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Access-Control-Allow-Headers''token,Authorization,DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
            add_header 'Access-Control-Expose-Headers' 'Authorization, Refresh-Token';
        }
        # 复杂请求-预检请求处理
        if ($cors_method = '11') {
            add_header 'Access-Control-Allow-Origin'  '*.example.com';
            add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS,PUT';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Access-Control-Allow-Headers''token,Authorization,DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
            add_header 'Access-Control-Expose-Headers' 'Authorization, Refresh-Token';
            # 缓存1天
            add_header 'Access-Control-Max-Age' 86400;
            # 状态码204表示请求已经执行成功,但没有内容。浏览器不会刷新页面,也不会导向别的页面。
            return 204;
        }
    }
    ...
}

实际配置不需要按示例进行,只要按需处理即可。

如果涉及多出处配置CORS,则配置单独成文件,在使用位置直接include进来。这样配置更简洁。

这篇文章如果对您有所帮助或者启发的话,帮忙关注或点赞,有问题请评论,必有所复。您的支持是我写作的最大动力!

乐享技术
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nginx学习笔记(六)Nginx实现跨域(cors)访问(2种方案)
nuaa042216的博客
10-07 1万+
Nginx实现跨域访问
docker-nginx-ccrp:Nginx Cors缓存反向代理
03-26
通过运行Nginx反向代理来解决CORS问题,该代理会将请求缓存到源API。 要求 码头工人 配置 检查default.conf的serverblock。 至少您需要更改。 该配置的为并且提供了一些选项以从响应中隐藏某些标头。 在查看Nginx...
Nginx | Nginx之跨域配置(CORS)
苏老师的博客
10-19 1万+
Nginx-跨域配置(CORS) CORS 什么是CORS ? CORS是一个W3C的标准,全称是跨域资源共享(Cross-origin resource sharing). 他允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而客服了AJAX只能同源使用的限制. 当前几乎所有的浏览器都可以通过CORS的协议支持AJAX跨域调用. 简单来说就是跨域的目标服务器要返回的一系列的Headers,通过这些Headers来通知是否同意跨域. Nginx通过CROS 实现跨域 #设置Origin
Nginx实战:跨域配置
最新发布
龙叔运维的博客
05-28 638
跨域(Cross-Origin)是指浏览器从一个域名的网页去请求另一个域名的资源时,浏览器会对这个请求进行同源策略(Same-Origin Policy)的安全限制。这个安全策略是浏览器的一种安全机制,用于限制一个源(域名、协议、端口)的网页只能请求该源的资源,而不能请求其他源的资源。CORS是一个W3C规范,它定义了一种浏览器和服务器交互的方式来确定是否允许跨源请求。CORS通过一种特殊的HTTP头信息(Access-Control-Allow-Origin)来实现这种交互。
Nginx配置允许CORS跨域请求
qq_41382215的博客
03-14 785
Nginx配置解决“has been blocked by CORS policy: No 'Access-control-Allow-0riginheader is present on the requested resource”跨域请求问题
什么是CORS,它是如何解决前端跨域的
Neekky的博客
03-22 2154
CORS是一个W3C标准,全称是“跨域资源共享”,它允许浏览器向跨源服务器,发出XHR请求,克服了AJAX的同源限制。 实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 浏览器将CORS...
Nginx 如何在配置文件中实现CORS
代码说,代码让世界更美好。
03-18 1438
Nginx 如何在配置文件中实现CORS
Nginx如何解决浏览器跨域问题Cors跨域资源共享解决跨域问题、浏览器的同源策略原理(Same-Origin Policy)源站Origin
Dontla的博客
07-21 2810
如果有了浏览器同源策略,浏览器就会判断,如果浏览器的源站,即发送请求的网页的域名(或IP地址),与请求服务器的接口的(域名(或ip地址)、端口、协议)不一致时,即为跨域请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同源策略通过限制跨域请求的访问权限,确保了网页只能访问与其来源相同的资源,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器同源策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据;
通过 Nginx 配置解决 CORS跨域问题
weixin_38399962的博客
02-09 8425
通过 Nginx 定制化配置解决 CORS跨域问题
Nginx - 一招快速解决跨域(CORS问题
牧码的博客
08-19 2613
Nginx - 一招快速解决跨域(CORS问题
Nginx允许跨域访问(请求状态:CORS error)
小悲伤的博客
01-12 6141
允许nginx跨域访问项目: server { listen 80; server_name xxxxx.com; index index.php index.html index.htm default.php default.htm default.html; root /www/wwwroot/project/public; # 允许跨域GET,POST,DELETE HTTP方法发起跨域请求 add_header 'Access-Co
Nginx实战(九)跨域配置(解决CORS报错)
热门推荐
ouyida3的专栏
02-07 5万+
文章目录本章导读本章要点了解跨域以及产生原因跨域的常见解决方法方法一:add_header解决方案解释1. Access-Control-Allow-Origin2. Access-Control-Allow-Headers3. Access-Control-Allow-Methods4.给OPTIONS 添加 204的返回预检请求(preflight request)反向代理解决跨域1.'^~ ...
nginx-cors-config.zip_cors_nginx
09-20
【标题】"nginx-cors-config.zip_cors_nginx" 提供了一个关于如何在 Nginx 服务器上配置 CORS(跨源资源共享)的解决方案。CORS 是一种机制,它允许 Web 应用程序从不同的源(比如不同的域名)请求资源,以克服...
headers-more-nginx-module-0.34
08-10
《headers_more_nginx_module_0.34:深入解析Nginx扩展模块的增强功能》 在Web服务器领域,Nginx以其高性能、高并发能力而广受赞誉。而headers_more_nginx_module作为Nginx的一个扩展模块,进一步提升了其在处理...
nginx跨域问题解决多端口,多ip问题
03-26
Nginx 跨域问题解决方案 Nginx 是一个流行的开源 Web 服务器软件,广泛应用于 Web 服务器管理。然而,在使用 Nginx 进行服务器管理时,经常会遇到跨域问题。跨域问题是指在不同的域名、端口或协议下,无法访问...
nginx服务器配置解决ajax的跨域问题
09-30
总结来说,解决Ajax跨域问题的关键在于设置合适的响应头,而在Nginx服务器上实现这一目标需要对`nginx.conf`或相关站点配置文件进行编辑,添加适当的`add_header`指令。正确配置后,Nginx将允许来自不同源的Ajax请求...
Nginx跨域配置
虫虫的博客
12-06 1万+
Nginx跨域配置
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
ACGkaka的博客
02-26 1万+
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
XHR cross error 跨域问题解决
bohu83的博客
02-24 9135
问题 后端的API,直接通过IP+端口访问没问题,直接访问域名也OK。通过别的域名跨域访问就异常了。 console也明确提示: 二 修改 以下为springboot bean注入方式。 新增拦截器代码, public class CORSFilter extends GenericFilterBean implements Filter { @Override public void doFilter(ServletRequest request...
nginx解决cors跨域漏洞
05-27
解决nginxCORS跨域漏洞,可以使用以下措施: 1. 设置Access-Control-Allow-Origin头部:在nginx的配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Origin' '*'; ``` 该头部指定允许跨域请求的源。这里使用通配符*,表示允许任意来源访问。 2. 设置Access-Control-Allow-Methods头部:在nginx的配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; ``` 该头部指定允许跨域请求的HTTP方法。这里只允许GET、POST和OPTIONS方法。 3. 设置Access-Control-Allow-Headers头部:在nginx的配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; ``` 该头部指定允许跨域请求的HTTP头部。这里列出了一些通用的HTTP头部。如果需要使用其他自定义的HTTP头部,也可以在这里添加。 4. 设置Access-Control-Max-Age头部:在nginx的配置文件中添加以下内容: ``` add_header 'Access-Control-Max-Age' 1728000; ``` 该头部指定OPTIONS请求的缓存时间,单位为秒。这里设置了20天的缓存时间。 通过以上措施,可以有效地解决nginxCORS跨域漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐享技术

每一个打赏,都是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值