Nginx配置跨域及解析

最新推荐文章于 2024-06-30 15:30:45 发布
最新推荐文章于 2024-06-30 15:30:45 发布
阅读量7k 收藏 12
点赞数 3
分类专栏: Nginx Linux 文章标签: postgresql id uuid
原文链接:http://www.ruanyifeng.com/blog/2016/04/cors.html
版权

一、代码

先放上nginx配置代码

    # 以代理百度地图api为例
    location /mymap/ {
        proxy_pass http://api.map.baidu.com/;
        # 配置跨域代理 
        add_header         Access-Control-Allow-Origin      $http_origin;
        add_header         Access-Control-Allow-Methods     GET,POST,OPTIONS,HEAD,PUT;
        add_header         Access-Control-Max-Age           3600;
        add_header         Access-Control-Allow-Credentials true;
        add_header         Access-Control-Allow-Headers     User-Agent,Origin,Content-Type,Accept,Authorization,X-Token;
        if ($request_method = OPTIONS){
            add_header Access-Control-Allow-Origin $http_origin;
            add_header Access-Control-Allow-Credentials true;
            add_header Access-Control-Allow-Headers User-Agent,Origin,Content-Type,Accept,Authorization,X-Token;
            add_header Access-Control-Max-Age 3600;
            add_header Content-Type 'text/plain; charset=utf-8';
            add_header Content-Length 0;
            return 200;
        }
    }

二、配置解释

1、Nginx指令add_header和proxy_set_header的区别

如何理解反向代理?
Nginx是反向代理服务器,我们可以从下面的图来理解为什么是反向代理。以Nginx为中心,数据的流向是从ServerNginx再到Client,注意我说的是数据(响应数据),而不是请求。我们都知道水流一定是从上游流到下游,所以给Server一个别称上游服务器,当然这个别称并不是我定义的。
在这里插入图片描述

proxy_set_headeradd_header的区别

区别:proxy_set_headerNginx设置请求头信息给上游服务器,add_headerNginx设置响应头信息给浏览器。

  • proxy_set_header

    假如Nginx请求上游服务器时,添加额外的请求头,就需要使用proxy_set_header。在Java中使用HttpServletRequest#getHeader(String name)来获取请求头的值,name是请求头的名称。
    例如:proxy_set_header X-Request-URI $scheme://$host/$uri;

    String requestUrl = request.getHeader("X-Request-URI");
if (requestUrl == null) {
    // 从Servlet服务器获取客户端请求地址
    requestUrl = request.getRequestURL().toString();
}

  • add_header
    Nginx响应数据时,要告诉浏览器一些头信息,就要使用add_header。例如跨域访问(详细参见Nginx跨域访问配置

    add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Headers' 'X-Requested-With';
add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS'
# 由于跨域请求,浏览器会先发送一个OPTIONS的预检请求,我们可以缓存第一次的预检请求的失效时间
if ($request_method = 'OPTIONS') {
	add_header 'Access-Control-Max-Age' 2592000;
	add_header 'Content-Type' 'text/plain; charset=utf-8';
	add_header 'Content-Length' 0;
	return 204;
}

 放上此段原文链接:Nginx指令add_header和proxy_set_header的区别_p7+的博客-CSDN博客

CORS"跨域资源共享"(Cross-origin resource sharing)请求解释

下面这些参数,有些是浏览器发出的,有些是服务器端返回的,这里就一起放在这里了,详细的看原文:点这里

  • Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。

需要注意的是,如果要发送Cookie,Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。同时,Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传,且(跨源)原网页代码中的document.cookie也无法读取服务器域名下的Cookie。


  •  

  • Access-Control-Allow-Credentials

该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。

  • Access-Control-Expose-Headers

该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

  • Access-Control-Allow-Methods:

该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

  • Access-Control-Request-Headers

该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段。

  • Access-Control-Allow-Headers:

如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。

  • Access-Control-Max-Age:

该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。
 

原文看这个:跨域资源共享 CORS 详解 - 阮一峰的网络日志

也可以看看这篇讲跨域的:https://segmentfault.com/a/1190000011145364

流水随清风
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue+springboot前后端分离工程跨域问题解决方案解析
08-24
Vue+SpringBoot前后端分离工程跨域问题解决...本文详细介绍了Vue+SpringBoot前后端分离工程跨域问题解决方案解析,通过示例代码和Nginx反向代理,解决了跨域问题。希望对大家的学习或者工作具有一定的参考学习价值。
nginx 中危网站报告修复
12-19
修复这些漏洞通常涉及更新Nginx配置、应用补丁、调整安全策略等步骤。在实施修复时,建议先在测试环境中验证,确保不会影响网站正常运行,然后再推广到生产环境。同时,定期进行安全扫描和漏洞管理是保障网站持续...
记一次坑爹问题:nginx配置跨域允许 add_header Access-Control-Allow-Origin *; 不生效
qq_37819292的博客
12-14 2330
nginx配置跨域允许 add_header Access-Control-Allow-Origin *; 不生效
nginx静态资源服务配置Access-Control-Allow-Origin等属性,部分请求还是会出现跨域的问题
一个人的价值取决于所在位置
12-26 2718
使用nginx做静态资源服务器(离线地图),我已经在nginx配置中加了Access-Control-Allow-Origin头部等配置,如下: # MapSources Server cesium服务 server { listen 9602; server_name 192.168.10.26; location / {...
Nginx配置允许前端跨域访问-干货品鉴
阿牛哥的博客
05-23 755
Nginx配置允许前端跨域访问
CORS跨域问题解决
u011925641的博客
09-13 624
CORS跨域问题解决 简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
前端发送请求,明明登录进去了,为什么获取用户信息不行,后端总是识别不到token——跨域的问题
CXYCMY的博客
02-25 825
配置跨域,crosConfig版本
向请求头添加自定义属性,实现token功能时,出现CORS跨域导致请求失败( has been blocked by CORS policy: ... No ‘Access-Control-All)
piglite的专栏
06-17 2725
场景:在使用 SpringBoot + Vue 进行前后端分离的开发过程中,部分功能是需要当用户登陆成功时后端(SpringBoot)向前端(Vue)返回一个token值,前端将这个token值放在以后每个请求的请求头中,后端先从拦截器中验证token值的存在,再放行请求,以确保不会被别人恶意修改、删除数据,结果出现了CORS跨域导致请求失败的情况。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于在后端拦截器中拦截了所有的请求,
请求时设置了Header请求和token可是后台接收不到,然后一直报跨域错误
m0_55045698的博客
01-29 1216
最近项目出了一个疑难杂症,恶心死我。请求方法为 GET、POST、HEAD,请求头header中无自定义的请求头信息,请求类型Content-Type 为 text/plain、multipart/form-data、application/x-www-form-urlencoded 的请求都是简单请求。浏览器根据这些请求方法和请求类型将请求划分为简单请求和非简单请求。请求方法为 PUT、DELETE 的 AJAX 请求、发送 JSON 格式的 AJAX 请求、带自定义头的 AJAX 请求都是非简单请求。
Nginx跨域配置.zip
01-21
本资源包主要涵盖了在Linux环境下安装Nginx以及配置Nginx解决跨域问题的方法。 一、Linux下安装Nginx 1. 更新系统软件包:首先确保你的Linux系统是最新的,通常使用`sudo apt-get update`(Ubuntu/Debian)或`yum ...
headers-more-nginx-module-0.34
08-10
headers_more_nginx_module提供了一系列的配置指令,使得在Nginx配置文件中操作头部变得简单直观: 1. `more_set_headers`: 用于添加或修改HTTP响应头,可以设置多个头部,每个头部之间用分号隔开。 示例: ```...
跨域携带cookie案例.rar
11-19
本文将深入探讨“跨域携带cookie”的案例,重点解析如何通过nginx服务器解决这一问题。首先,我们需要理解什么是跨域以及为什么会有跨域限制。 跨域是指浏览器的同源策略,即JavaScript只能访问与当前页面同协议、...
为什么前端传了token,后端一直获取不到?一直报跨域错误?
最新发布
a486368464的博客
06-30 225
这是我的前端代码这是我的后端拦截器那就需要了解一下对于非简单请求(如PUT、DELETE或包含自定义HTTP头的请求),浏览器会先发送一个OPTIONS请求到目标服务器,询问是否允许该跨域请求。这个过程称为预检请求。当options请求到达我服务器时,被拦截器拦住了,获取不到跨域的规则。所以浏览器也不会发送实际的请求。那么一共有两种解决办法。
Springboot 前后端分离项目中使用拦截器获取不到token或者token为空的问题(OPTION请求被拦截问题)
weixin_45609613的博客
05-05 2510
目是前后端分离的,并且springboot也配置跨域功能。但是配置了JWT功能、以及验证器验证之后却出现了获取不到jwt的问题。获取参数为 null。并且全局异常拦截失效,前端响应为cors跨域问题获取不到数据。使用postman可以正常请求并获取数据,考虑到是不是因为自己header中的jwt字段不是标准的header字段,尝试放到Authorization中也是null,并且全局拦截也是失效的。
正确配置Access-Control-Allow-Origin,千万不要设置成*
baijiafan的博客
08-24 8万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
nginx 配置add_header 'Access-Control-Allow-Origin' '*' 依然存在跨域问题
热门推荐
xiojing的博客
10-25 8万+
1.问题描述: 前端域名A 在POST请求后端域名为B 的一个接口时候请求成功时不存在跨域问题,请求失败时浏览器提示跨域。 解决: 当请求成功时,HTTP CODE 为200。而请求失败时HTTP CODE 为400, 此时add_headerAccess-Control-Allow-Origin’ ‘*’ 配置无效!设置无论HTTP CODE 为何值时都生效需要加 always 。ngin...
2.1.5Nginx跨域访问:add_header
紫月7575的博客
09-01 1543
文章目录Nginx跨域访问跨域访问Nginx跨域操作:添加头:add_header测试准备开始测试 Nginx跨域访问 跨域访问 浏览器同时访问www.a.com和www.b.com,从安全角度讲是禁止这样的。 为什么浏览器禁止跨域访问 不安全,容易出现CSRF攻击! CSRF攻击就是跨站是攻击。 当客户访问网站A的时候,网站A返回给客户cookie,token等信息;当客户访问黑客控制的网站B的时候,网站B返回的不安全信息,会控制客户的浏览器访问网站A,并发送恶意请求,就形成跨站访问。 所以,一般
使用Nginx来解决跨域的问题
weixin_30500105的博客
04-24 205
使用Nginx来解决跨域的问题 nginx的版本:(查看nginx命令: /usr/local/nginx/sbin/nginx -v) nginx/1.4.3 问题是:前端项目域名是 a.xxxx.com, 后端的接口域名是 b.xxx.com,然后后端接口没有设置跨域相关的响应设置头,因此就接口和我们域名就会存在跨域的情况,因此我们可以使用 nginx服务器来配置一下; 网上很多资料将...
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 4834
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
nginx 配置跨域
08-14
要在Nginx配置跨域请求,可以使用以下方法: 1. 在特定的服务器块中添加头信息:在Nginx配置文件中找到对应的服务器块(通常是`server`或`location`),然后添加以下内容: ``` location / { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; add_header Access-Control-Expose-Headers 'Content-Length,Content-Range'; } ``` 这样会在响应头中添加必要的跨域相关信息,允许所有来源(`*`),允许的HTTP方法(GET,POST,OPTIONS),允许的请求头,以及允许的响应头。 2. 配置CORS模块:如果你的Nginx安装了CORS模块,可以使用该模块来更灵活地配置跨域请求。首先,确保已经在Nginx中加载了CORS模块。然后,在配置文件中找到对应的服务器块,添加以下内容: ``` location / { cors on; cors_origin_allow_all_headers on; cors_methods GET POST OPTIONS; cors_preflight_request_methods GET POST OPTIONS; cors_allow_credentials on; } ``` 这样会启用CORS模块,并设置一些常用的配置选项,如允许所有来源的请求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值