Nginx实战(九)跨域配置(解决CORS报错)

最新推荐文章于 2024-04-27 18:55:57 发布
最新推荐文章于 2024-04-27 18:55:57 发布
阅读量5.3w 收藏 36
点赞数 10
分类专栏: 架构 Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouyida3/article/details/86771683
版权
架构 同时被 2 个专栏收录
14 篇文章 2 订阅
订阅专栏
Nginx
12 篇文章 5 订阅
订阅专栏

文章目录

本章导读

  • 这章开始写写一些小技巧,或者叫小功能
  • 目前很流行前后端分离
  • 即使不分离,如果需要用ajax调用,但是调用服务不在同域
  • 这个时候,nginx都可以帮上忙

开始前先看一个chrome的报错:

:8080/#/auth/login:1 Access to XMLHttpRequest at ‘http://localhost:8830/extinterface/loginExt’ from origin ‘http://localhost:8080’ has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

再看看不修改前端代码(比如js),也不修改java代码(假设后端是java实现的),只修改下nginx的配置:

http {
	include       mime.types;
	add_header 'Access-Control-Allow-Origin' '*';
	add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
	add_header 'Access-Control-Allow-Credentials' 'true';
	default_type  application/octet-stream;
	
	map $http_origin $corsHost {
		default 0;
		"~http://130.51.23.17:8080" http://130.51.23.17:8080;
	}
}

本章要点

  • 首先要了解跨域,不同的ip,或者不同的域名,当然算跨域
  • 如果同样的ip,不同的端口,算跨域吗?当然算的
  • 解决的方法有很多,nginx只是其中一种
  • nginx解决,也有两种配置方法,一种是反向代理,把不同域的a域名反向代理成同域的b域名
  • 另一种是设置header,使得服务端允许跨域
  • 这里说的服务端允许跨域,不是说修改服务端的代码(当然也可以这么说,但是修改代码要重新编译发布,太麻烦),而是通过nginx来访问服务端,而中间的nginx设置了一下header
  • 如果是允许了跨域,可能会导致一些安全的问题,所以最好服务端应该在内网,并且有防火墙保护的

了解跨域以及产生原因

跨域是指a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。

注意:跨域限制访问,其实是浏览器的限制。理解这一点很重要。所以,当用java(或者其他语言)调用RESTful api,从来不会报什么跨域错误。

跨域情况如下:

url说明是否跨域
http://www.cnblogs.com/a.js,http://www.a.com/b.js不同域名
http://www.a.com/lab/a.jshttp://www.a.com/script/b.js同一域名下不同文件夹
http://www.a.com:8000/a.jshttp://www.a.com/b.js同一域名,不同端口
http://www.a.com/a.jshttps://www.a.com/b.js同一域名,不同协议
http://www.a.com/a.jshttp://70.32.92.74/b.js域名和域名对应ip
http://www.a.com/a.jshttp://script.a.com/b.js主域相同,子域不同是(cookie不可访问)
http://www.a.com/a.jshttp://a.com/b.js同一域名,不同二级域名(同上)

跨域的常见解决方法

目前来讲没有不依靠服务器端来解决跨域请求资源的技术,也就是说,如果服务端不允许跨域请求,那么单靠客户端无论怎么弄,都是不行的。

  • 1.jsonp 需要目标服务器配合一个callback函数。

  • 2.window.name+iframe 需要目标服务器响应window.name

  • 3.window.location.hash+iframe 同样需要目标服务器作处理。

  • 4.html5的 postMessage+ifrme 这个也是需要目标服务器或者说是目标页面写一个postMessage,主要侧重于前端通讯。

  • 5.CORS 需要服务器设置header :Access-Control-Allow-Origin。

  • 6.nginx反向代理 这个方法一般很少有人提及,但是他可以不用目标服务器配合,不过需要你搭建一个中转nginx服务器,用于转发请求。

方法一:add_header

当出现403跨域错误的时候 No ‘Access-Control-Allow-Origin’ header is present on the requested resource,需要给Nginx服务器配置响应的header参数

解决方案

只需要在Nginx的配置文件中配置以下参数:

location / {  
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
    add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

    if ($request_method = 'OPTIONS') {
        return 204;
    }
}

上面配置代码即可解决问题了,不想深入研究的,看到这里就可以.

解释

1. Access-Control-Allow-Origin

服务器默认是不被允许跨域的。给Nginx服务器配置Access-Control-Allow-Origin *后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。

2. Access-Control-Allow-Headers

是为了防止出现以下错误:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

这个错误表示当前请求Content-Type的值不被支持。其实是我们发起了"application/json"的类型请求导致的。这里涉及到一个概念:预检请求(preflight request),请看下面"预检请求"的介绍。

3. Access-Control-Allow-Methods

是为了防止出现以下错误:

Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

4.给OPTIONS 添加 204的返回

是为了处理在发送POST请求时Nginx依然拒绝访问的错误

发送"预检请求"时,需要用到方法 OPTIONS ,所以服务器需要允许该方法。

预检请求(preflight request)

其实上面的配置涉及到了一个W3C标准:CROS,全称是跨域资源共享 (Cross-origin resource sharing),它的提出就是为了解决跨域请求的。

跨域资源共享(CORS)标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。
其实Content-Type字段的类型为application/json的请求就是上面所说的搭配某些 MIME 类型的 POST 请求,CORS规定,Content-Type不属于以下MIME类型的,都属于预检请求:

application/x-www-form-urlencoded
multipart/form-data
text/plain

所以 application/json的请求 会在正式通信之前,增加一次"预检"请求,这次"预检"请求会带上头部信息

Access-Control-Request-Headers: Content-Type:
OPTIONS /api/test HTTP/1.1
Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
… 省略了一些

服务器回应时,返回的头部信息如果不包含Access-Control-Allow-Headers: Content-Type则表示不接受非默认的的Content-Type。即出现以下错误:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

方法二:反向代理

上面已经说到,禁止跨域问题其实是浏览器的一种安全行为,而现在的大多数解决方案都是用标签可以跨域访问的这个漏洞或者是技巧去完成,但都少不了目标服务器做相应的改变,而我最近遇到了一个需求是,目标服务器不能给予我一个header,更不可以改变代码返回个script,所以前5种方案都被我否决掉。最后因为我的网站是我自己的主机,所以我决定搭建一个nginx并把相应代码部署在它的下面,由页面请求本域名的一个地址,转由nginx代理处理后返回结果给页面,而且这一切都是同步的。

关于nginx的一些基本配置和安装请看我的另一篇博客,下面直接讲解如何配置一个反向代理。
https://blog.csdn.net/ouyida3/article/details/86763553

首先找到nginx.conf或者nginx.conf.default 或者是default里面的这部份。

其中server代表启动的一个服务,location 是一个定位规则。

location /{   #所有以/开头的地址,实际上是所有请求
  root  html     #去请求../html文件夹里的文件,其中..的路径在nginx里面有定义,安装的时候会有默认路径,详见另一篇博客
  index  index.html index.htm  #首页响应地址
}

从上面可以看出location是nginx用来路由的入口,所以我们接下来要在location里面完成我们的反向代理。

假如我们我们是 www.a.com/html/msg.html 想请求 www.b.com/api/?method=1&para=2;

我们的ajax:

var url = 'http://www.b.com/api/msg?method=1&para=2';
<br>$.ajax({
type: "GET",
url:url,
success: function(res){..},
....
})

上面的请求必然会遇到跨域问题,这时我们需要修改一下我们的请求url,让请求发在nginx的一个url下。

var url = 'http://www.b.com/api/msg?method=1&para=2'var proxyurl = 'msg?method=1&para=2'//假如实际地址是 www.c.com/proxy/html/api/msg?method=1&para=2; www.c.com是nginx主机地址
 $.ajax({
type: "GET",
url:proxyurl,
success: function(res){..},
....
})  

再在刚才的路径中匹配到这个请求,我们在location下面再添加一个location。

location ^~/proxy/html/{
  rewrite ^/proxy/html/(.*)$ /$1 break;
  proxy_pass http://www.b.com/;
}

以下做一个解释:

1.’^~ /proxy/html/ ’

就像上面说的一样是一个匹配规则,用于拦截请求,匹配任何以 /proxy/html/开头的地址,匹配符合以后,停止往下搜索正则。

2.rewrite ^/proxy/html/(.*)$ /$1 break;

代表重写拦截进来的请求,并且只能对域名后边的除去传递的参数外的字符串起作用,例如www.c.com/proxy/html/api/msg?method=1&para=2重写。只对/proxy/html/api/msg重写。

rewrite后面的参数是一个简单的正则 ^/proxy/html/(.*)$ ,$1代表正则中的第一个(),$2代表第二个()的值,以此类推。

break代表匹配一个之后停止匹配。

3.proxy_pass

既是把请求代理到其他主机,其中 http://www.b.com/ 写法和 http://www.b.com写法的区别如下:

  • 不带/
location /html/
{
  proxy_pass http://b.com:8300; 
}
  • 带/
location /html/ 
{ 
    proxy_pass http://b.com:8300/; 
}

上面两种配置,区别只在于proxy_pass转发的路径后是否带 “/”。

针对情况1,如果访问url = http://server/html/test.jsp, 则被nginx代理后,请求路径会便问http://proxy_pass/html/test.jsp,将test/ 作为根路径,请求test/路径下的资源。

针对情况2,如果访问url = http://server/html/test.jsp, 则被nginx代理后,请求路径会变为 http://proxy_pass/test.jsp,直接访问server的根资源。

修改配置后重启nginx代理就成功了。

完结。

ouyida3
关注
  • 10
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨源资源共享
XXHolic
12-27 189
引子 CORS 全称 Cross-Origin Resource Sharing,跨源资源共享,是跨域解决方案之一,里面有不少的知识点,在此集中整理。 Origin My GitHub 简介 浏览器的同源策略是一个重要的安全机制,不同源的客户端在没有授权的情况下,不能够访问对方的资源。同源的定义是访问链接的协议、域名和端口号均相同。在实际应用中,合理的跨域请求对于一些应用程序也很重要, CO...
nginx服务器通过配置解决API的跨域问题
01-10
前言 最近在采用jquery ajax调用http请求时,发现了一系列问题: 如采用firebug调试API请求(这个API是自己服务器的应用),看到服务器明明返回200状态,response返回数据也是json格式,但ajax返回的error。 在排除json数据格式不正确的原因之后,发现了ajax error函数返回“networkerror failed to execute ‘send’ on ‘xmlhttprequest’ failed to load ‘http //“ XMLHttpRequest.status=0,就是没有初始化。 后来才知道是跨域问题(CORS),因为
前端请求后端CORS跨域问题解决(使用Nginx请求转发)
qq_34838703的博客
03-08 524
前端请求后端CORS跨域问题解决(利用Nginx请求转发)
前后端分别解决跨域问题 CORS错误
最新发布
ZhaZha_Yi的博客
04-27 496
从前后端解决 跨域问题解决 CORS错误。
Nginx允许跨域访问(请求状态:CORS error)
小悲伤的博客
01-12 6081
允许nginx跨域访问项目: server { listen 80; server_name xxxxx.com; index index.php index.html index.htm default.php default.htm default.html; root /www/wwwroot/project/public; # 允许跨域GET,POST,DELETE HTTP方法发起跨域请求 add_header 'Access-Co
nginx跨域请求处理
zgy_boke的博客
08-30 522
server { //监听的端口号 listen 80 default_server; //域名 server_name _; add_header Access-Control-Allow-Credentials true; add_header Access-Control-Allow-Origin $http_origin; ...
CORS跨域-Nginx使用方法(Access-Control-Allow-Origin错误提示)
weixin_30918415的博客
11-26 1724
问题说明 当出现上图这个的时候,是访问请求外域URL无法访问,浏览器认为访问外域URL不安全,导致访问不了简称跨域问题。而这上面出现一句很重要的话“NO Access-Control-Allow-Origin”,这个是什么?是不是只要添加“Access-Control-Allow-Origin”头就能访问呢?如何添加?会不会有其他问题? Access-Control-Allow-Or...
Nginx代理解决CORS跨域
weixin_42949219的博客
10-16 1134
详细解释:https://blog.csdn.net/huang714/article/details/122173438。
Nginx - 一招快速解决跨域CORS)问题
牧码的博客
08-19 2563
Nginx - 一招快速解决跨域CORS)问题
Nginx解决CORS跨域解决方案
一个有趣、有料、有内涵的地方!
08-21 769
首先通读下 MDN 关于 CORS 的 定义,了解跨域的含义及简单请求和复杂请求等的定义。文中的内容不赘述,现在说解决方案。 通过定义我们可以,简单请...
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
nginx服务器配置解决ajax的跨域问题
09-30
总结来说,解决Ajax跨域问题的关键在于设置合适的响应头,而在Nginx服务器上实现这一目标需要对`nginx.conf`或相关站点配置文件进行编辑,添加适当的`add_header`指令。正确配置后,Nginx将允许来自不同源的Ajax请求...
Nginx实现跨域使用字体文件的配置详解
09-30
本文将详细介绍如何在Nginx配置解决跨域使用字体文件的问题。 首先,我们需要了解问题的背景。当一个页面尝试从不同的源(如子域名)加载字体文件时,如果服务器没有正确设置响应头`Access-Control-Allow-...
nginx 配置跨域失效修复的方法示例
09-29
主要介绍了nginx 配置跨域失效修复的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Nginx解决跨域问题(CORS)
热门推荐
Zemo 学习笔记
12-25 2万+
CORS(Cross-Origin Resource Sharing) 跨域资源共享,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。
cors nginx 怎么解决_NGINX配置跨域CORS支持的正确方式
weixin_33196828的博客
02-01 395
这两天在搞 酷瓜云网课 的 app,采用 uni-app 做全端支持,现学现卖,目前算是入门了。在做 H5 的时候难免会跨域请求后端 API,虽然用 HBuilder 内置的浏览器不会有跨域问题(这个应该是做了内部处理),但是那个内置浏览器真尼妈坑爹,过一会就会卡死,导致 HBuilder 无响应,杀进程也是无济于事,只能重启,重复几次谁受的了。后来发现用外部的浏览器不会有这个问题,但是又面临跨域...
nginx 图片加载 net::ERR_CONTENT_LENGTH_MISMATCH 200
小小的木头人的博客
07-04 863
问题:proxy_temp...等文件访问权限问题; 解决办法: 修改 nginx.conf ; 注释掉#user nobody; 添加user root; 停止nginx: ./sbin/nginx -s stop 检查nginx:./sbin/nginx -c conf/nginx.conf
Nginx配置反向代理来解决cors跨域问题
滕青山博客
03-27 2015
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。所谓同源是指,域名,协议,端口都相同。浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。
nginx 跨域配置
08-05
要在 Nginx配置跨域,你可以使用 `add_header` 指令来添加 `Access-Control-Allow-Origin` 头信息。这个头信息允许指定的域名或通配符访问资源。以下是一个示例配置: ``` location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; add_header 'Access-Control-Max-Age'1728000; add_header 'Content-Type' 'text/plain charset=UTF-8'; add_header 'Content-Length'0; return204; } add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; } ``` 在上面的示例中,`Access-Control-Allow-Origin` 头信息被设置为 `*`,表示允许任何域名访问资源。你也可以将其设置为特定的域名,如 `'http://example.com'`。 请注意,如果你的应用程序需要使用自定义头信息,你需要在 `add_header 'Access-Control-Allow-Headers'` 中添加它们。 完成配置后,重新加载 Nginx使配置生效。这样就可以实现跨域访问了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值