cors与Nginx

最新推荐文章于 2025-06-04 19:58:49 发布
最新推荐文章于 2025-06-04 19:58:49 发布
阅读量744 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: js 文章标签: js nginx cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/njitluoluo/article/details/49868847

各个项目有用到公共头部,必然会涉及到模块跨域访问。

每个模块分别使用nginx 做负载均衡, nginx如果配置错误,会导致拦截跨域请求的资源。

1.nginx配置location,支持* 和 单个域名的限制,若现在有多个模块 即多个域,则应该使用下面的配置(不同版本的nginx配置会有差别)

set $cors "";
            if ($http_origin ~ "^(http://xxxx.biz.com|http://local.xxxx.biz.com:8080)$") {        //此为可能的多个模块的域名
               set $cors "true";
            }
        location / {


            proxy_pass   http://127.0.0.1:7001;
            if ($request_method = 'OPTIONS') {
               add_header 'Access-Control-Allow-Origin' "$http_origin";     // 此处取上面的值
               add_header 'Access-Control-Allow-Credentials' 'true';
               add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
               add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,X-Csrf-Token'; 
               # add_header 'Access-Control-Max-Age' 1728000;  
               add_header 'Content-Type' 'text/plain charset=UTF-8';
               add_header 'Content-Type' 'application/octet-stream';
               add_header 'Content-Length' 0;
              return 200;
            }
        }

2.相应的,在cros接口中 也需要对header头部参数做限制, * 和单个域名先不谈。主要说多个域名的情况:

可以根据refer 动态的设置:

private void parseAllowsUrl(HttpServletResponse response, HttpServletRequest request) {
try {
String referer = request.getHeader("Referer");
URL refer = new URL(referer);
String host = refer.getHost();
String protocol = refer.getProtocol();
Integer point = refer.getPort();
String refPath = protocol + "://" + host;
if(point!=-1){
refPath=refPath+":"+point;

String[] urls = allowsUrl.split(",");  // allowsUrl为允许访问的域,应用部署前就已知道,配置项。
for (String url : urls) {
if (StringUtils.equals(refPath, url)) {
response.addHeader("Access-Control-Allow-Origin", url);
response.setHeader("Access-Control-Allow-Credentials", "true"); // 动态设置
return;
}
}
} catch (Exception e) {
LOGGER.error("paese error", e);
}
}


3.客户端js需要设置跨域参数:

           xhrFields: {
            withCredentials: true
          },
          crossDomain: true,


至此可以实现, cros 支持多个域名的资源访问。

目前再说明一个问题:

公共头的css可能会使用@font-face重新定义字体,而这个也需要是跨域请求这些字体文件,在部分浏览器下(chrone,firefox),这些请求会经过CORS POLICY检验的。如果NGX在相应这些文件的时候没有带上Access-Control-Allow-Origin浏览会报错,并且这些资源会加载不成功。所以nginx配置location的限制还是很重要。


跨域漏洞处理:Nginx 配置处理 CORS 请求
Java小白白的博客
07-30 2115
描述了如何使用 Nginx 配置来处理 CORS 请求,特别是应对非法域名请求的逻辑。这种配置可以帮助应对漏洞扫描或非法域名请求,并提供详细的处理方式。
如何使用 Nginx 解决跨域问题 (CORS)
hello.reader
08-27 3739
跨域资源共享 (CORS, Cross-Origin Resource Sharing) 是一种机制,它允许一个域名下的网页资源被来自另一个域名的网页所访问。这在现代 web 开发中非常常见,因为前端后端通常托管在不同的服务器上。然而,默认情况下,浏览器会阻止跨域请求,导致开发者在实现前后端分离时遇到跨域问题。本文将通过 Nginx 来解决这个问题,详细讲解步骤,适合刚接触 Nginx CORS 的新手。CORS 是一种浏览器安全机制,用于决定 Web 应用是否能够跨域请求资源。
使用 Nginx 轻松处理跨域请求(CORS
MenzilBiz的博客
10-18 3293
CORS(Cross-Origin Resource Sharing)是一种 HTTP 头部机制,允许服务器声明哪些外部域(origin)可以访问其资源。由于安全原因,浏览器通常不允许跨域请求,但通过 CORS,服务器可以显式地允许某些域访问其资源。
Nginx 跨域问题(CORS
最新发布
sre救赎之路
06-04 655
当 WebSocket 客户端(如 JavaScript)服务端域名不一致时,会触发浏览器的 CORS 检查。在使用 Nginx 部署 WebSocket 服务时,跨域资源共享(CORS)问题是常见的挑战。:WebSocket 本身不受同源策略限制,但 JavaScript 调用受 CORS 约束。通过以上配置,Nginx 可以有效解决 WebSocket 服务的跨域问题,同时保持安全性。对于复杂请求(如带自定义头的 WebSocket),浏览器会先发。:确保该头包含客户端域名。:明确指定允许的域名。
CORS on Nginx
在路上
04-23 295
CORS on Nginx
解决跨域:Cors跨域Nginx反向代理的区别
Reagan_的博客
08-03 4479
由于浏览器的同源策略(协议、域名端口是否相同),我们经常需要对请求做跨域处理。 常见的跨域方式有什么呢? 通过jsonp跨域 (利用script、src标签发起get请求不会出现跨域禁止的特点实现) 通过修改document.domain来跨子域 window.name+iframe (借助中介属性window.name实现) HTML5中的window.postMessage (主要侧重于前...
CORS 完全指南:从原理到 Nginx/Apache 配置实战
MenzilBiz的博客
04-03 1496
CORS 是现代 Web 开发中不可避免的核心安全机制。通过深入理解其工作原理精细配置服务器,开发者可以在保障安全性的同时实现灵活的跨源资源共享。本文提供的 Nginx Apache 配置模板经过生产环境验证,可根据实际需求进行调整。记住,良好的 CORS 策略应该遵循最小权限原则,在开放必要访问的同时,最大限度地保护系统用户数据安全。
nginx-cors-config.zip_cors_nginx
09-20
【标题】"nginx-cors-config.zip_cors_nginx" 提供了一个关于如何在 Nginx 服务器上配置 CORS(跨源资源共享)的解决方案。CORS 是一种机制,它允许 Web 应用程序从不同的源(比如不同的域名)请求资源,以克服...
前后端分离的项目使用nginx 解决 Invalid CORS request
诗水人间
12-14 1770
得到的结果是因为Origin的值(前端浏览器,axios根据当前域自动添加的)后端代理的接口地址不一致。我们知道nginx是可以修改请求头的,只要在nginx转发的那个地方加上Origin就可以解决这个问题。下面是关键信息,只要这2个一致就行了#后端服务地址#这个要后端服务地址一样,不然会出现跨域问题具体的其他一些关于nginx的配置,可以参考我签名完整的nginx配置。
CORS跨域Nginx反向代理跨域优劣对比
荆轲刺秦王
10-25 765
最近写了一些关于前后端分离项目之后,跨域相关方案的基本原理常见误区的帖子,主要包括CORSNginx反向代理。这两种方案项目中都有在用,各有优缺,关于具体使用哪种方案,大家的观点也不大一致,本文主要就此展开一下,从前后端及服务器配置、安全性、移植灵活性、扩展性等方面详细对比一下两种方案的优缺,以便于后期在方案选型上对大家有所帮助。 前端配置 CORS方案:跨域时部分浏览器默认不携带cook...
Nginx配置跨域(CORS
web_15534206248的博客
09-10 291
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
深入解析:前端跨域问题及其CORS、代理、JSONP、Nginx反向代理等解决方案
JINGWHALE
04-23 1865
本文深入阐述了前端跨域问题及其CORS、代理(尤其是开发阶段的代理)、JSONP、Nginx反向代理等解决方案。前端开发者在遇到跨域问题时,需要根据项目需求、开发环境服务器配置选择适用的跨域解决方案,以确保浏览器端能够顺利访问所需跨域资源。
Nginx | Nginx之跨域配置(CORS)
热门推荐
苏老师的博客
10-19 2万+
Nginx-跨域配置(CORS) CORS 什么是CORS ? CORS是一个W3C的标准,全称是跨域资源共享(Cross-origin resource sharing). 他允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而客服了AJAX只能同源使用的限制. 当前几乎所有的浏览器都可以通过CORS的协议支持AJAX跨域调用. 简单来说就是跨域的目标服务器要返回的一系列的Headers,通过这些Headers来通知是否同意跨域. Nginx通过CROS 实现跨域 #设置Origin
Nginx 如何在配置文件中实现CORS
代码说,代码让世界更美好。
03-18 1951
Nginx 如何在配置文件中实现CORS
通过nginxcors解决跨域问题
脉脉情缘的博客
12-14 459
一、跨域产生的原因 跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能当前页域名相同,这能有效阻止跨站攻击。 但是这却给我们的开发带来了不便,而且在实际生产环境中,肯定会有很多台服务器之间交互,地址端口都可能不同,怎么办? 二、解决方案 1、通过nginx反向代理方式: location / { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Method
nginx配置cors
weixin_45594127的博客
12-23 523
server { listen 80; server_name localhost; add_header 'Access-Control-Allow-Origin' $http_origin always; add_header 'Access-Control-Allow-Credentials' 'true...
nginx CORS 配置
BishopTylaor的博客
03-02 735
nginx 跨域请求 # # Wide-open CORS config for nginx # location / { if ($request_method = ‘OPTIONS’) { add_header ‘Access-Control-Allow-Origin’ ‘*’; # # Om nom nom cookies # add_header ‘Access-Contro...
Nginx 设置cors跨域
weixin_30642305的博客
08-13 109
在我们的开发中,经常遇到跨域,这个时候,可以通过cors来解决。 解决的方法可以在服务端的代码层或者在web服务器进行设置 在web服务器上进行设置cors 跨域,这样就不必改动代码。以nginx为例子 提示:有时候我们的后端是PHP文件,则需要把跨域的代码加 location ~ \.php(.*)$ 中。 location / { if ($request_m...
通过 Nginx 配置解决 CORS跨域问题
weixin_38399962的博客
02-09 8729
通过 Nginx 定制化配置解决 CORS跨域问题
websocket cors nginx 配置
10-09
WebSocket跨域资源共享(Cross-Origin Resource Sharing, CORS)是在Web浏览器的同源策略限制下,允许服务器通过HTTP头部设置特定规则,使得来自不同源(协议、域名或端口)的网页可以互相通信的技术。当使用WebSocket非同源服务器通信时,如果没有正确的CORS配置,浏览器会阻止连接。 在Nginx配置中处理WebSocketCORS通常涉及以下几个步骤: 1. **开启WebSocket支持**: Nginx本身并不直接支持WebSocket,你需要安装第三方模块如`ngx_http_upstream_proxy_protocol_module`,并启用它。 ```nginx http { # 其他配置... proxy_protocol on; } ``` 2. **创建WebSocket专用的location块**: 使用`proxy_pass`指令,并指定WebSocket服务器地址。 ```nginx server { listen 80; # 或者443 location /ws { proxy_pass http://your-backend-server:8080; # 后端WebSocket服务地址 proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; add_header 'Access-Control-Allow-Origin' '*'; # 允许所有来源 add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; } } ``` 这里的`add_header`设置了CORS允许的头信息,`*`表示允许所有来源访问。 3. **处理OPTIONS预检请求**: 对于CORS,浏览器会在实际发送WebSocket请求前先发送一个`OPTIONS`请求检查是否允许跨域,Nginx需要正确响应这个请求。 ```nginx location = /ws { add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; if ($request_method = 'OPTIONS') { add_header 'Access-Control-Max-Age' 1728000; # 设置缓存时间 add_header 'Content-Length' 0; return 204; } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值