Nginx “Access-Control-Allow-Origin” 安全配置

于 2025-04-02 10:35:31 发布
阅读量642 收藏 1
点赞数 9
分类专栏: Linux 文章标签: nginx 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mqiqe/article/details/146936398
版权

以下是Nginx中安全配置“Access-Control-Allow-Origin”头的实践指南:

一、避免使用通配符(*)

‌1. 精确指定允许的域名‌
通过白名单限制允许跨域的域名,避免使用Access-Control-Allow-Origin *,以减少CSRF等安全风险‌。
示例:

add_header Access-Control-Allow-Origin "https://example.com";

‌2. 动态匹配多个域名‌
使用map模块根据请求的Origin动态返回允许的域名,提升灵活性‌:

map $http_origin $cors_origin {
    default "";
    "~^https?://(example\.com|sub.example\.net)$" $http_origin;
}
server {
    location / {
        add_header Access-Control-Allow-Origin $cors_origin;
    }
}

二、限制允许的HTTP方法及头部

‌1. 明确允许的请求方法‌
仅开放必要的HTTP方法(如GET, POST),而非默认允许所有方法:

add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
‌2. **指定允许的请求头‌**
按需开放自定义或敏感头部(如Authorization),避免泛用配置‌:
```nginx 
add_header Access-Control-Allow-Headers "Content-Type, Authorization";

三、预检请求(OPTIONS)处理

1‌. 返回204状态码‌
对OPTIONS请求直接返回204 No Content,避免触发实际业务逻辑‌68:

if ($request_method = 'OPTIONS') {
    return 204;
}

2‌. 避免重复添加头信息‌
确保在错误处理块(如error_page)中不重复设置跨域头,防止响应头冲突‌。

四、增强安全性补充配置

‌1. 控制凭据访问‌
若需携带Cookie等凭证,需显式设置Access-Control-Allow-Credentials并禁用通配符‌:

add_header Access-Control-Allow-Credentials "true";

‌2. 限制缓存时间‌
通过Access-Control-Max-Age减少预检请求频率,但需根据业务需求设置合理有效期(单位:秒)‌:

add_header Access-Control-Max-Age 3600;

3‌. 添加Vary头‌
避免缓存因Origin不同导致的错误响应‌:

add_header Vary "Origin";

五、完整配置示例

map $http_origin $cors_origin {
    default "";
    "~^https?://(example\.com|sub.example\.net)$" $http_origin;
}

server {
    location / {
        if ($cors_origin) {
            add_header 'Access-Control-Allow-Origin' $cors_origin;
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Vary' 'Origin';
        }

        if ($request_method = 'OPTIONS') {
            return 204;
        }
    }
}

以上配置通过动态域名匹配、严格限制方法/头部、正确处理预检请求及补充安全头,实现既灵活又安全的CORS策略‌15。

Nginx配置跨域请求 Access-Control-Allow-Origin *
weixin_34247032的博客
12-23 3497
当出现403跨域错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数: 一、 解决方案 只需要在Nginx的配置文件中配置以下参数: location / { add...
nginx跨域请求Access-Control-Allow-Origin
iningwei的博客
10-29 1981
当出现403跨域错误的时候 No ‘Access-Control-Allow-Origin’ header is present on the requested resource,需要给Nginx服务器配置响应的header参数:只需要在Nginx的配置文件中配置以下参数: 上面配置代码即可解决问题了。一般而言只需要配置服务器默认是不被允许跨域的。给Nginx服务器配置后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。这个错误表示当前请求Content-Type的值不被支持。其实是
Access-Control-Allow-Origin 跨域设置多域名
WHACKW的专栏
01-30 1万+
在HTML5中有一种新的跨域方式,即设置“Access-Control-Allow-Origin”可以指定允许跨域访问的域名。 Node.js中可以这样写 app.all(‘*’, function(req, res, next) { res.header(“Access-Control-Allow-Origin”, ‘https://www.google.com‘);
宝塔面板+Nginx配置CORS跨域访问:解决‘Access-Control-Allow-Origin‘问题(适配百度云CDN)
最新发布
sanyi9527的博客
02-22 350
在Discuz论坛中出现“NO Access-Control-Allow-Origin header”错误时,可以通过以下步骤解决:在宝塔面板的Nginx环境中配置CORS跨域请求头,包括在宝塔面板中设置跨域访问CORS配置、查看并手动添加配置文件中的相关代码、重启Nginx服务,以及在使用百度CDN时,在CDN控制台中配置跨域访问规则。这些方法能够有效解决因跨域问题导致的字体文件加载失败等错误,帮助用户避免弯路。
SpringBoot配置Access-Control-Allow-Origin
bai920708的博客
11-02 940
SpringBoot配置Access-Control-Allow-Origin
【怎么可能】nginx配置跨域报错:No ‘Access-Control-Allow-Origin‘ header is present on the requested resource
风信子的博客
09-11 1331
浏览器从⼀个域名的⽹⻚去请求另⼀个域名的资源时,域名、端⼝、协议任⼀不同,都是跨域。
Nginx 跨域配置详细讲解
骑上单车去旅行的博客
08-30 1万+
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP头部来告诉浏览器让运行在一个origin(域)上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求。
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
主要给大家介绍了关于Nginx配置跨域请求Access-Control-Allow-Origin * 的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
热门推荐
wangzuao的博客
06-14 1万+
例如:A服务器是liunx系统部署了一个java程序,B服务器是本地服务器,A服务器需要请求访问B服务器的资源,可以用nginx代理来请求到B服务器的资源。链接: nginx步骤:下载完成后安装运行在A服务器上面,先运行看看有没有问题,这里不细说,然后找到开始配置nginx.conf文件(重点) 一、如何配置你的nginx.conf 添加一个server{},这是你的服务,listen参数是你要监听的端口,这个端口可以自定义,server_name localhost,这个一般就是A服务器的域名地址,记
Nginx配置跨域请求 Access-Control-Allow-Origin
weixin_40378548的博客
03-17 348
Nginx配置跨域请求 Access-Control-Allow-Origin * 当出现403跨域错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数: 一、 解决方案 只需要在Nginx的配置文件中配置以下参数:即可 location...
ajax 设置Access-Control-Allow-Origin实现跨域访问
06-06
ajax跨域访问是一个老问题了,解决方法很多,比较常用的是JSONP方法,JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全。 即使使用jquery的jsonp方法,type设为POST,也会自动变为GET。如果跨域使用POST方式,可以使用创建一个隐藏的iframe来实现,与ajax上传图片原理一样,但这样会比较麻烦。因此,通过设置Access-Control-Allow-Origin来实现跨域访问比较简单。
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
然而,有时在Nginx服务器上设置`Access-Control-Allow-Origin`后,依然会出现跨域请求失败的情况。本文将探讨这个问题,并提供一种有效的解决方案。 首先,我们需要了解`Access-Control-Allow-Origin`这个HTTP响应...
静态文件访问不到报No Access-Control-Allow-Origin处理办法
06-11
解决这个问题的一种方法是通过配置Web服务器,比如Nginx,来添加`Access-Control-Allow-Origin`头部。这个头部允许指定哪些源可以访问服务器上的资源。在Nginx的配置文件中,我们可以为特定的URL模式添加这个头部,...
已解决:No 'Access-Control-Allow-Origin'跨域问题
08-19
总的来说,解决"No 'Access-Control-Allow-Origin'"跨域问题的关键在于理解浏览器的同源策略,并在后端服务器中正确配置CORS策略。在实际开发中,应当兼顾安全性和便利性,根据项目需求来设定合适的跨域策略。
Access-Control-Allow-Origin 解决跨域权限问题
程序员
07-24 1993
Nginx 解决办法: add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Headers X-Requested-With; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; 将这段代码添加到 http{} 或者静态资源
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_64051447的博客
06-30 1万+
解决方式还有更多各种各样的,但我认为最优雅的莫过于这两种,因此其他的解决方式可以暂时不提及,那些方法不仅增加了阅读复杂度还增加了维护成本不建议使用。无论是采用何种方式,我们都是要让后端修改代码,修改header或修改返回数据格式,都离不开后端的参与,所以遇到跨域问题,赶快找后端,一起解决这个问题。
nginx配置允许跨域
jsboy123的专栏
11-09 1169
location / { root html; index index.html index.htm; add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, PO...
nginx Access-Control-Allow-Origin
04-23
nginx Access-Control-Allow-Origin是一个HTTP响应头,用于解决跨域资源共享(CORS)的问题。它指定了哪些源(域、协议和端口)可以访问服务器上的资源。 当浏览器发起跨域请求时,服务器会返回一个HTTP响应头Access-Control-Allow-Origin,告诉浏览器是否允许该跨域请求。如果服务器返回的Access-Control-Allow-Origin值与请求的Origin匹配,浏览器就会允许该跨域请求。 以下是一些常见的nginx配置示例: 1. 允许所有来源访问: ``` add_header Access-Control-Allow-Origin *; ``` 2. 允许指定的来源访问: ``` add_header Access-Control-Allow-Origin example.com; ``` 3. 允许多个来源访问: ``` add_header Access-Control-Allow-Origin example.com another-domain.com; ``` 4. 允许同一域名下的子域名访问: ``` add_header Access-Control-Allow-Origin *.example.com; ``` 5. 允许带有认证信息的请求: ``` add_header Access-Control-Allow-Origin $http_origin; add_header Access-Control-Allow-Credentials true; ``` 需要注意的是,配置Access-Control-Allow-Origin时要谨慎,确保只允许信任的来源访问,以防止安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王小工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值