Nginx跨域访问
跨域访问
浏览器同时访问www.a.com和www.b.com,从安全角度讲是禁止这样的。
为什么浏览器禁止跨域访问
- 不安全,容易出现CSRF攻击!
CSRF攻击就是跨站是攻击。
当客户访问网站A的时候,网站A返回给客户cookie,token等信息;当客户访问黑客控制的网站B的时候,网站B返回的不安全信息,会控制客户的浏览器访问网站A,并发送恶意请求,就形成跨站访问。
所以,一般情况下,浏览器会默认组织跨站访问。
Nginx跨域操作:添加头:add_header
虽然浏览器禁止跨站访问,但是出于企业实际情况,后者设计/业务需要,往往需要打开跨站访问的限制。
怎么打开:
虽然这个是有浏览器控制的,但是浏览器它控制的时候会判断服务器端返回的头
Access-Control-Allow-Origin
,若是服务器设置不需要限制,浏览器就不会限制了。
Nginx使用add_header
,设置头信息;
语法:
Syntax:add_header name value [always]; # name 是头信息字段;value是对应的值,此处是跨站访问,那么就是跨站访问的站点;always
Default:-
Context:http,server,location,if in location
测试
准备
添加文件/usr/share/nginx/html/code/test_oringin.html
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>测试ajax和跨域访问</title>
<script src="http://libs.baidu.com/jquery/2.1.4/jquery.min.js"></script>
</head>
<script type="text/javascript">
$(document).ready(function(){
$.ajax({ //进入这个页面的时候,发起请求,访问另一个域名
type: "GET",
url: "http://jeson.imoocc.com/1.html",
success: function(data) {
alert("sucess!!!");
},
error: function() {
alert("fail!!!,请刷新再试!");
}
});
});
</script>
<body>
<h1>测试跨域访问</h1>
</body>
</html>
配置域名
上面的jeson.imoocc.com域名需要我们自己加上
cd /etc/nginx/conf.d #进入nginx的配置文件夹
#配置.conf文件
#跨域访问
#跨域访问
server {
listen 80;
server_name 116.62.103.228 jeson.imoocc.com www.jesonc.com;
sendfile on;
#charset koi8-r;
access_log /var/log/nginx/static_access.log main;
location ~ .*\.(jpg|gif|png)$ {
gzip on;
gzip_http_version 1.1;
gzip_comp_level 2;
gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
root /usr/share/nginx/html/code/images;
}
location ~ .*\.(txt|xml)$ {
gzip on;
gzip_http_version 1.1;
gzip_comp_level 1;
gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
root /usr/share/nginx/html/code/doc;
}
location ~ .*\.(htm|html)$ {
# add_header Access-Control-Allow-Origin *; #添加跨域访问
# add_header Access-Control-Allow-Origin http://www.jesonc.com; #添加跨域访问
# add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS; #跨域访问的方法
#expires 24h;
root /usr/share/nginx/html/code;
}
location ~ ^/download {
gzip_static on;
tcp_nopush on;
root /usr/share/nginx/html/code;
}
error_page 500 502 503 504 404 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
配置host
将 jesonc.com设置上服务器地址
将 jeson.com设置上服务器地址
192.168.179.128 www.jesonc.com
192.168.179.128 www.jeson.com
192.168.179.128 jeson.imoocc.com
取消缓存功能
开始测试
浏览器访问: http://www.jesonc.com/test_oringin.html
此时控制台提示错误
他无法去加载这个页面,因为这个头信息默认是不允许的
把这个头信息在服务端进行设置
location ~ .*\.(htm|html)$ {
# add_header Access-Control-Allow-Origin *; #添加跨域访问
add_header Access-Control-Allow-Origin http://www.jesonc.com; #添加跨域访问
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS; #跨域访问的方法
#expires 24h;
root /usr/share/nginx/html/code;
}
允许这个域名跨域访问,其他的还是拒绝的
http://www.jesonc.com/ 访问 http://jeson.imoocc.com 跨域,但是nginx的
Access-Control-Allow-Origin
添加了 http://www.jesonc.com 之后,http://www.jesonc.com就允许跨域了.
很多时候,Access-Control-Allow-Origin
是直接配置了* ,这个是允许nginx的这个配置的所有的请求的页面都允许跨域,这样的话容易被黑客攻击。建议只打开需要的网站。