Nginx跨域请求处理

最新推荐文章于 2024-08-15 14:12:24 发布
最新推荐文章于 2024-08-15 14:12:24 发布
阅读量334 收藏
点赞数
分类专栏: nginx 文章标签: nginx
原文链接:https://www.cnblogs.com/itzgr/p/13343387.html#
版权

同源策略

同源策略是一个安全策略。同源,指的是协议,域名,端口相同。浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。

同源策略主要是基于如下可能的安全隐患:

  1. 用户访问www.mybank.com,登录并进行网银操作,这时cookie等资源都生成并存放在浏览器;
  2. 用户突然访问一个另一个网站;
  3. 该网站在页面中,拿到银行的cookie,比如用户名,登录token等,然后发起对www.mybank.com的操作;
  4. 若此时浏览器不对跨域做限制,并且银行也没有做响应的安全处理的话,那么用户的信息有可能就这么泄露了。

跨域简介

首先要理解跨域,跨域是指从一个域名的网页去请求另一个域名的资源。本质上对于此类请求,只要协议、域名、端口有任何一个的不同,就被当作是跨域,即都被当成不同源。
通常基于安全考虑,Nginx启用了同源策略,即限制了从同一个源加载的文档或脚本不能与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
但若同一个公司内部存在多个不同的子域,子域之间需要互访,此时可通过跨域进行实现。跨域可通过JSONP和CORS进行实现。

注意:
如果是协议和端口造成的跨域问题"前端"是无法解决的;
在跨域实现上,仅仅是通过"URL的首部"来识别而不会根据域名对应的IP地址是否相同来判断。“URL的首部"可以理解为”“协议,域名和端口必须匹配”;
请求跨域并不是请求发不出去,请求可正常发出,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了

配置语法

语法:add_header name value [always];
默认值:——
可配置段:http, server, location, if in location
配置项释义:
Access-Control-Allow-Origin:配置 Access-Control-Allow-Origin 为 * 表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求,也可以指定一个确定的URL。
Access-Control-Allow-Headers:配置 Access-Control-Allow-Headers,代表允许在请求该地址的时候带上指定的请求头,例如:Content-Type,Authorization,使用逗号(,)拼接起来放在双引号(")中,可根据实际请求类型添加,可防止出现以下错误:
Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response。这个错误表示当前请求Content-Type的值不被支持。其实是因为发起了"application/json"的类型请求导致的。
Access-Control-Allow-Methods:配置 Access-Control-Allow-Methods,代表允许使用指定的方法请求该地址,常见的方法有:GET, POST, OPTIONS, PUT, PATCH, DELETE, HEAD。可防止出现以下错误:
Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.
Access-Control-Max-Age:配置 Access-Control-Max-Age,代表着在 86400 秒之内不用请求该地址的时候 不需要再进行预检请求,也就是跨域缓存。
Access-Control-Allow-Credentials 'true':可选字段,为true表示允许发送Cookie。同时,发送时,必须设置XMLHttpRequest.withCredentials为true才有效,请求若服务器不允许浏览器发送,删除该字段即可。
return 204:给OPTIONS 添加 204 的返回,为了处理在发送POST请求时Nginx依然拒绝访问的错误,发送"预检请求"时,需要用到方法 OPTIONS,所以服务器需要允许该方法。
对于简单请求,如GET,只需要在HTTP Response后添加Access-Control-Allow-Origin。
对于非简单请求,比如POST、PUT、DELETE等,浏览器会分两次应答。第一次preflight(method: OPTIONS),主要验证来源是否合法,并返回允许的Header等。第二次才是真正的HTTP应答。所以服务器必须处理OPTIONS应答。
注意:如上的 add_header 最后都可以加上了 always,它表示不管返回状态码是多少都会使 add_header 生效,有些时候服务端可能会返回 4XX 的状态码,这时候如果少了 always 会导致 add_header 失效,从而导致浏览器报跨域错误。

配置示例

方案1 *:通配符,全部允许,存在安全隐患(不推荐)。

一旦启用本方法,表示任何域名皆可直接跨域请求:

server {
        ...
        location / {
            # 允许 所有头部 所有域 所有方法
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Headers' '*';
            add_header 'Access-Control-Allow-Methods' '*';
            # OPTIONS 直接返回204
            if ($request_method = 'OPTIONS') {
                return 204;
            }
        }
        ...
    }

方案2:多域名配置(推荐)

配置多个域名在map中 只有配置过的允许跨域:

map $http_origin $corsHost {
        default 0;
        "~https://zzzmh.cn" https://zzzmh.cn;
        "~https://chrome.zzzmh.cn" https://chrome.zzzmh.cn;
        "~https://bz.zzzmh.cn" https://bz.zzzmh.cn;
    }
    server {
        ...
        location / {
            # 允许 所有头部 所有$corsHost域 所有方法
            add_header 'Access-Control-Allow-Origin' $corsHost;
            add_header 'Access-Control-Allow-Headers' '*';
            add_header 'Access-Control-Allow-Methods' '*';
            # OPTIONS 直接返回204
            if ($request_method = 'OPTIONS') {
                return 204;
            }
        }
        ...
    }
qq_34466889
关注
专栏目录
Nginx 代理解决跨域问题分析
qigeminghao的博客
01-18 2389
当你遇到跨域问题,不要立刻就选择复制去尝试。请详细看完这篇文章再处理 。我相信它能帮到你。 分析前准备: 前端网站地址:http://localhost:8080 服务端网址:http://localhost:59200 首先保证服务端是没有处理跨域的,其次,先用postman测试服务端接口是正常的 当网站8080去访问服务端接口时,就产生了跨域问题,那么如何解决?接下来我把跨域遇到的各种情况都列举出来并通过nginx代理的方式解决(后台也是一样的,只要你理解的原理)。 跨域主要涉及4个响.
Nginx跨域问题的分析
shujufenxishi的博客
07-25 851
这块内容,我们主要从以下方面进行解决同源策略浏览器的同源策略: 是一种约定,是浏览器最核心也是最基本的安全功能,如果浏览器少了同源策略,则浏览器的正常功能可能都受到影响。同源: 协议、域名(IP)、端口相同即为同源跨域主要是针对浏览器的,当我们访问一个网址时,从该网页点击一个链接(或者调用另一个网址)、如果这个链接或者网址不跟访问的网页不同源,就出现跨域。
Nginx反向代理、CORS、JSONP等跨域请求解决方法总结
weixin_30636089的博客
01-27 385
由于 Javascript 同源策略的存在使得一个源中加载来自其它源中资源的行为受到了限制。即出现跨域请求禁止。 通俗一点说就是如果存在协议、域名、端口或者子域名不同服务端,或一者为IP地址,一者为域名地址(在跨域问题上,域仅仅是通过“ url的首部 ”来识别而不去尝试判断相同的IP地址对应着两个域或者两个域是否同属同一个IP),之中任意服务端旗下的客户端发起请求其它服务端资源的访问行动都是...
Nginx配置origin限制CORS跨域漏洞(应对等保渗透)
最新发布
io_123io_123的博客
08-15 1300
Nginx配置origin限制CORS跨域漏洞(等保测评扫描反复扫到)
Ajax跨域、Json跨域、Socket跨域和Canvas跨域等同源策略限制的解决方法
weixin_34266504的博客
03-25 92
同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。相信每个开发人员都曾遇到过跨域请求的情况,虽然情况不一样,但问题的本质都可以归为浏览器出于安全考虑下的同源策略的限制。跨域的情形有很多,最常见的有Ajax跨域、Socket跨域和Canvas跨域。下面列举一些我们常见的跨域情形下,某些浏览器控制台给出的错误提示:FireFox下的提示:已阻...
nginx代理解决跨域问题
呼啦啦啦啦啦的博客
03-27 1万+
跨域(Cross-Origin)是指在 Web 开发中,一个网页的运行脚本试图访问另一个网页的资源时,这两个网页的域名、协议或端口号任何一个不同,就被称为跨域。跨域是由浏览器的同源策略(Same-Origin Policy)所限制的。同源策略是一种安全机制,它防止一个网页的脚本去读取另一个不同域名的网页内容。同源策略要求两个网页的协议、主机和端口号必须完全相同,否则就出现跨域问题。简单来说,同源策略要求不同域名的网页之间不能相互访问对方的资源。
Nginx跨域处理
代码改变世界
03-07 264
业务场景: 1.在H5开发中,需要调用不同的业务服务器,此时发生跨域问题,解决跨域问题跨域在Nginx代理中进行配置,添加一个拦截/pay的请求,并添加《rewrite ^/pay/(.*)$ /$1 break;》,不含《》。 server { listen 91; server_name default_server; client_max_body_size 10m; #上传...
Nginx服务器中处理AJAX跨域请求的配置方法讲解
09-30
主要介绍了Nginx服务器中处理AJAX跨域请求的配置方法讲解,包括Nginx作Apache的反向代理时的配置方法,需要的朋友可以参考下
通过nginx实现跨域请求
08-14
Nginx是一个高性能的HTTP和反向代理服务器,它常用于配置和管理网站的访问规则,包括处理跨域请求跨域请求是Web开发中常见的限制,由浏览器的同源策略实施。同源策略不允许一个域名下的文档或脚本获取或操作另一...
nginx 配置跨域失效修复的方法示例
01-20
nginx 配置跨域不生效 如下配置 server { listen 80; server_name localhost; # 接口转发 location /api/ { # 允许请求地址跨域 * 做为通配符 add_header 'Access-Control-Allow-Origin' '*'; # 设置请求...
nginx跨域问题,解决多端口,多ip问题
03-26
Nginx 跨域问题解决方案 Nginx 是一个流行的开源 Web 服务器软件,广泛应用于 Web 服务器管理。然而,在使用 Nginx 进行服务器管理时,经常遇到跨域问题跨域问题是指在不同的域名、端口或协议下,无法访问...
nginx 跨域处理
pf1234321的专栏
10-17 438
    问题由来:浏览器拒绝执行其它域名下的ajax运作 如上图:chrome首次使用域名static.enjoy.com加载html页面------->然后在页面内由ajax方式向域名www.enjoy.com发起请求。 此时问题出现:chrome拒绝执行ajax请求得到的返回值。   此问题常见解决方案: 1、最常用的是,jsonp。此方案需要前后端共同协作来解决。...
Nginx 跨域处理
小波的专栏(u012893325)
07-16 1万+
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。 只要同时满足以下两大条件,就属于简单请求。 (1) 请求方法是以下三种方法之一:         HEAD GET POST (2)HTTP的头信息不超出以下几种字段:     AcceptAccept-LanguageContent-LanguageLas...
nginx跨域请求
热门推荐
张永光的博客
01-30 2万+
nginx跨域请求 Access-Control-Allow-Origin * 当出现403跨域错误’Access-Control-Allow-Origin’,需要给Nginx服务器配置响应的header参数 解决方法 #修改nginx.conf文件 server { add_header Access-Control-Allow-Origin *; add_header
Nginx跨域解决方案
CrazyQiQi的博客
08-03 2万+
Nginx跨域解决方案
使用Nginx解决跨域问题
qi341500的博客
02-16 1万+
使用Nginx解决跨域问题 1、修改浏览器、客户端访问地址 2、在nginx.conf配置文件需配置server 3、在Nginx中配置客户端访问的接口(按照规则或通配),并设置被代理的服务器 4、在Nginx中统一配置客户端访问的头部信息(解决跨域问题) 5、在服务器端设置相应的头部信息(字符集编码等)
nginx解决请求跨域问题
weixin_45966674的博客
03-27 936
里面这里 我们意思是 当你访问 http://localhost:8080/pro-api 时 代理指向 http://localhost:8081/这样 当你访问 http://localhost:8080/ 时 它就给你转到http://localhost:8082/上去。而我们在 index.html中写请求了http://localhost:8080/pro-api/user/1。代理到了 http://localhost:8081/user/1 下。
Nginx解决跨域问题
weixin_55853065的博客
11-10 8932
这几天出现了一个问题,我们中的一个A系统需要给B系统调用,造成了跨域问题。当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。
nginx跨域请求配置
08-25
要配置Nginx支持跨域请求,你可以按照以下步骤进行操作: 1. 打开你的 Nginx 配置文件,通常位于 `/etc/nginx/nginx.conf` 或 `/etc/nginx/conf.d/default.conf`。 2. 在 `http` 块内部添加以下配置,用于启用跨域请求: ```nginx http { # 允许所有来源的跨域请求 # 你也可以根据需要指定具体的来源,如 http://example.com add_header 'Access-Control-Allow-Origin' '*'; # 允许特定的请求方法,如 GET、POST、PUT、DELETE add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE'; # 允许特定的请求头,根据需要添加 add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept'; # 允许发送 Cookie add_header 'Access-Control-Allow-Credentials' 'true'; } ``` 3. 保存并关闭配置文件。 4. 检查 Nginx 配置文件是否有语法错误:`nginx -t`。 5. 重新加载 Nginx 配置使更改生效:`nginx -s reload`。 现在,你的 Nginx 已经配置完成,支持跨域请求了。请注意,这只适用于简单的跨域请求。对于复杂的跨域请求(如带有自定义标头或身份验证的请求),可能需要进行更多的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值