CORS解决跨域问题(Nginx跨域配置)

最新推荐文章于 2024-06-13 16:10:59 发布
最新推荐文章于 2024-06-13 16:10:59 发布
阅读量5.3w 收藏 78
点赞数 15
分类专栏: other
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35720307/article/details/89680726
版权

背景:

同域:域名(父域名和子域名都相同),端口,协议都相同

跨域:非同域的请求

 

问题:

浏览器上,我们访问127.0.0.1:80,但是127.0.0.1:80 会去请求127.0.0.1:81的数据(比如js文件,ajax请求等),此时80访问81会出现跨域问题,但我们浏览器能直接访问81的数据

 

注意:

跨域不是请求发不出去,而是服务端正常返回结果后被浏览器拦截返回结果。(浏览器为了防止非同源的请求 拿到服务器的返回数据结果)

 

解决办法:

跨域有2种请求,浏览器对于2种请求的处理不一样

简单请求:

请求方法只能是:HEAD,GET,POST

主动设置的头信息不能超过以下字段Accept,Accept-Language,Content-Language,Last-Event-ID,Content-Type(只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain)

注意:这里的头信息是指我们主动设置的头部信息,在查看请求过程时会发现 浏览器会在头信息里设置Origin等信息,这些不算主动设置的。

非简单请求:不能同时满足简单请求的2个条件

 

 

简单请求:

浏览器会在 请求头信息 里增加一个Origin字段,表明本次请求的来源,若服务器返回的头部信息里需包含 Access-Control-Allow-Origin并包含Origin 则浏览器正常返回数据,否则出现跨域错误。

如果需要携带cookie,请求时需设置(比如XMLHttpRequest.withCredentials = true)。若返回头部信息有 Access-Control-Allow-Credentials:true,则浏览器会正常返回数据,否则浏览器会拦截结果报 跨域错误。

注意:服务器会正常返回数据,只是浏览器拦截了结果。

服务器在返回头信息里设置必须):

Access-Control-Allow-Origin: Origin       

Eg:Access-Control-Allow-Origin:127.0.0.1:80

如果想设置匹配所有的Origin且不带cookie的,可以设置:

Access-Control-Allow-Origin: *

如果需要带Cookie,需设置:

Access-Control-Allow-Credentials:true

如果想匹配所有的Origin且带cookie:

Access-Control-Allow-Credentials: true

Access-Control-Allow-Origin: 请求的Origin(从request获取后填入)

千万不能同时设置Credentials=true且Origin=*,浏览器会报错:

has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute

例如服务器nginx配置案例:

add_header Access-Control-Allow-Credentials true;
add_header Access-Control-Allow-Origin $http_origin;

 

非简单请求:

常见的情况请求方法是PUT  或者  Content-Type字段类型是application/json 或者   头信息里自定义了属性

过程:

此时浏览器将请求分成2步:预检请求   +  简单请求

预检请求:真正请求前增加一次预检(preflight)请求(请求方法是OPTIONS),浏览器进行校验,如果返回状态码是2XX表示验证通过

简单请求:预检通过后,发送简单请求到服务器(浏览器校验Access-Control-Allow-Origin和Origin是否匹配 +  Access-Control-Allow-Credentials 和 需要携带Cookie 相匹配 )。

 

预检校验:

请求方法:OPTIONS

Header里增加:

Access-Control-Request-Headers(若单独设置了header,比如 resource:tom)

Access-Control-Request-Method:GET(例如真正的请求的请求方式是GET)

Origin:请求的域

 

浏览器通过和Response里的相对应的内容进行对比(例如返回PUT,DELETE,请求的是PUT,则校验通过)

返回的Methods默认是包括 简单请求 里的HEAD,POST,GET请求的(所以返回的里面填入*,也只能匹配到HEAD GET POST,不能匹配PUT等)

返回的Headers默认是包括 简单请求 里的几个字段

千万注意:返回里面设置Methods 或者 Headers为 * 不是代表匹配到任意的内容

注:

预检请求返回时,服务器可以额外配置Access-Control-Max-Age:xxx(单位秒),表示在此时间内请求不再发出另一条预检请求。

 

例如服务器nginx里配置跨域(针对OPTIONS请求直接返回2XX):

location /file {
if ($request_method = 'OPTIONS') {
add_header Access-Control-Allow-Origin $http_origin;
        add_header Access-Control-Allow-Methods $http_access_control_request_method;
        add_header Access-Control-Allow-Credentials true;
        add_header Access-Control-Allow-Headers $http_access_control_request_method;
        add_header Access-Control-Max-Age 1728000;
 return 204;
    }


 

后记:

同源策略是浏览器保护用户的措施,防止第三方网站请求拿到返回的数据(比如cookie和请求的返回结果)。

针对现在前后端分离,一般会在 后端/nginx 设置仅允许 前端的IP/域名 才能跨域请求拿到结果。

 

 

 

nginx里完整的跨域配置:

     server {
         listen  80 default_server;
         server_name _;  

         add_header Access-Control-Allow-Credentials true;
         add_header Access-Control-Allow-Origin $http_origin;
         
              
         location /file {
            if ($request_method = 'OPTIONS') {
                add_header Access-Control-Allow-Origin $http_origin;
                add_header Access-Control-Allow-Methods $http_access_control_request_method;
                add_header Access-Control-Allow-Credentials true;
                add_header Access-Control-Allow-Headers $http_access_control_request_headers;
                add_header Access-Control-Max-Age 1728000;
                return 204;
             }         
        }

    }


 Spring里跨域配置:

@Configuration
public class CorsConfig {

    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true); //支持cookie 跨域
        config.setAllowedOrigins(Arrays.asList("*"));
        config.setAllowedHeaders(Arrays.asList("*"));
        config.setAllowedMethods(Arrays.asList("*"));
        config.setMaxAge(300L);//设置时间有效

        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

 

注:这里设置AllowCredentials为*没问题,是因为程序里做了处理(在CorsConfiguration类里):

 

参考:http://www.ruanyifeng.com/blog/2016/04/cors.html

前端跨域测试:https://blog.csdn.net/qq_35720307/article/details/83616682

懒的去其
关注
  • 15
    点赞
  • 78
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
CORS解决跨域问题
qq_40887740的博客
01-24 374
参考: http://www.ruanyifeng.com/blog/2016/04/cors.html https://blog.51cto.com/15089766/2602513 CORS解决跨域问题 一、什么是CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。跨域资源共享(CORS)是一个浏览器和服务器之间关于跨域问题的协议。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
CORS跨域问题服务端的一个解决方法
wonking666的博客
08-29 1万+
上次写了一篇吐槽CORS的博客之后,今天再次出现此类问题。虽然对CORS已经了解的比较透彻,但这次的问题是一系列连锁问题引起的,最终对外表现为与一个不相关的错误,比较有迷惑性,所以有必要记录下来。   1.错误表现 先贴前端的报错异常: OPTIONS http://foo.com/test 405 (Method Not Allowed) Failed to load http://f...
CORS跨域问题解决
u011925641的博客
09-13 627
CORS跨域问题解决 简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
ACGkaka的博客
02-26 1万+
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
java前后端分离解决跨域问题:When allowCredentials is true, allowedOrigins cannot contain the special value “*“
最新发布
SUMMERENT的博客
06-13 378
报错信息:当allowCredentials为true时,allowedOrigins不能包含特殊值“*”,因为它不能在“Access-Control-Allow-Origin”响应头中设置。要允许凭据到一组来源,请显式列出它们,或者考虑使用“allowedOriginPatterns”。其实导致跨域问题的原因是:corsConfiguration.addAllowedOrigin("*");
前后端分离跨域问题
u014203449的博客
02-16 403
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, server { listen 3002; server_name localhost; location /ok { ...
跨域解决
zhanghongcai的专栏
11-17 201
1、jsonp 2、nginx 配置; server { listen 3002; server_name localhost; location /ok { proxy_pass http://localhost:3000; # 指定允许跨域的方法,*代表所有 add_header Access-Control-Allow-Methods *; # 预检命令的缓存,如果不缓存每次会发送两次请求 add_header Access-Control-Max-Age 3600; # 带c
Nginx配置origin限制跨域请求(应对等保)
qq_20236937的博客
01-11 1万+
Nginx配置origin限制跨域请求(应对等保)
nginx解决跨域问题的实例方法
09-29
通过以上配置和测试,Nginx可以有效地帮助解决跨域问题,使前端能够顺利地与不同源的后端服务进行通信。在实际项目中,可能还需要考虑其他安全措施,如配置CORS(Cross-Origin Resource Sharing)头,允许特定的跨域...
nginx服务器配置解决ajax的跨域问题
09-30
总结来说,解决Ajax跨域问题的关键在于设置合适的响应头,而在Nginx服务器上实现这一目标需要对`nginx.conf`或相关站点配置文件进行编辑,添加适当的`add_header`指令。正确配置后,Nginx将允许来自不同源的Ajax请求...
nginx服务器通过配置解决API的跨域问题
01-10
前言 最近在采用jquery ajax调用http请求时,发现了一系列问题: 如采用firebug调试API请求(这个API是自己服务器的应用),看到服务器明明返回200状态,response返回数据也是...后来才知道是跨域问题CORS),因为
nginx跨域问题解决多端口,多ip问题
03-26
本文档总结了 Nginx 跨域问题解决方案,包括前后端分离跨域问题、代码逻辑优化、Nginx 配置方面和项目实践等方面。通过本文档,可以了解 Nginx 跨域问题解决方法,并且可以应用于实际项目中。
Spring Boot如何通过CORS处理跨域问题
08-19
Spring Boot是一个基于Java的框架,为了解决跨域问题,Spring Boot提供了CORS(Cross-origin-resource sharing)机制来解决跨域问题跨域问题是由于浏览器的同源策略所致,同源策略是浏览器的核心安全功能,要求...
拦截器实现SpringBoot跨域请求
yaoct的博客
02-26 3198
因为springboot的@CrossOrigin注解在拦截器上无效,有时候就不能在拦截器返回给数据前端信息。 所以自己实现拦截器实现跨域处理,再在普通拦截器上,在HttpServletResponse封装返回给前端的信息 。 这里就要先了解CORS跨域原理,下面这段摘自https://www.jianshu.com/p/f5a88983f42d。 cross-origin reso.........
通过Nginx解决跨域问题
My_SweetXue的博客
05-13 2万+
Nginx跨域实现   首先大家要搞清楚什么是跨域,为什么会有跨域情况的出现。哪些情况属于跨域跨域:由于浏览器的同源策略,即属于不同域的页面之间不能相互访问各自的页面内容注:同源策略,单说来就是同协议,同域名,同端口 URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹 允许 ...
正确配置Access-Control-Allow-Origin,千万不要设置成*
baijiafan的博客
08-24 8万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
我也说说Nginx解决前端跨域问题,正确的Nginx跨域配置(后端Nginx CORS跨域配置CORS设置,后端允许跨域请求)
热门推荐
EnVon的专栏
10-22 15万+
最近连续两个朋友问我跨域相关问题,我猜想可能不少朋友也遇到类似问题,我打算写个博客聊一下我实际使用的配置, 先说明一下,我并不太了解这配置,没精力去了解太多,但我觉得其中有一些关键的小注意点,可能有些初学者不太注意到,导致配置有问题,本文章可能只对新手有点帮助,如果你有好配置,欢迎评论回复,让大家学习! NginxCORS配置,网上太多这配置了,但大家更多的复制粘贴、转发,几乎都是类似下面这...
cors跨域之简单请求与预检请求(发送自定义请求头)
chuxunhui5603的博客
06-11 1815
引子 前后端分离这个问题,对cors的应用不断增多,暴露出的问题也接踵而至。 正所谓虑一千次,不如去做一次。 犹豫一万次,不如实践一次,本篇主要讨论在发送ajax请求,头部带上自定义token验证验证,暴露出的跨域问题。 先说说定义 CORS:跨来源资源共享(CORS)是一份浏览器技...
nginx配置跨域的简单方法
xianyuxiaoqiang的专栏
06-02 321
server { ... add_header Access-Control-Allow-Origin ${http_origin}; # 允许所有来源请求 add_header Access-Control-Allow-Methods *; # 允许所有方法跨域 add_header Access-Control-Allow-Headers ${http_access_control_request_headers}; # 允许所...
nginx配置cors实现跨域
08-30
要在Nginx配置CORS(跨源资源共享),您需要编辑Nginx配置文件并添加相关配置。 首先,打开Nginx配置文件。默认情况下,该文件通常位于以下位置之一: - /etc/nginx/nginx.conf - /etc/nginx/conf.d/default.conf 找到您希望启用CORS的服务器块或位置块,并在其中添加以下配置: ``` location / { # 允许的来源(域名) if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Max-Age' 1728000; add_header 'Content-Type' 'text/plain charset=UTF-8'; add_header 'Content-Length' 0; return 204; } if ($request_method = 'POST') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range'; } if ($request_method = 'GET') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range'; } # 其他配置... } ``` 在上面的配置中,我们允许所有来源('*')跨域访问。您可以根据需要更改为特定的域名。 配置完成后,保存文件并重新加载Nginx配置,以使更改生效。您可以使用以下命令重新加载Nginx: ``` sudo service nginx reload ``` 现在,您的Nginx服务器应该已经启用了CORS,并允许跨域访问。请确保您的应用程序也正确处理CORS 头部。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值