Nginx解决跨域问题(CORS)

最新推荐文章于 2024-07-30 17:02:59 发布
最新推荐文章于 2024-07-30 17:02:59 发布
阅读量2.2w 收藏 16
点赞数 3
分类专栏: 服务器配置 文章标签: nginx 跨域 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zemochen/article/details/53868817
版权

0x0前言

CORS(Cross-Origin Resource Sharing) 跨域资源共享,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。
如:a.com 请求b.com的资源时,就涉及到了跨域。目前常见的跨域解决方案一般分为如下几类:

  • jsonp返回值解决get请求
  • iframe解决跨域访问
  • Nginx 解决CORS

0x1 Nginx配置

0x1_1简单配置:

server {
        listen       80;
        server_name  b.com;
        location /{
            add_header 'Access-Control-Allow-Origin' 'http://a.com';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Access-Control-Allow-Methods' 'GET';
        }
}

  • add_header:授权从a.com的请求

  • 第二条add_header:当该标志为真时,响应于该请求是否可以被暴露

  • 第三条add_header:指定请求的方法,可以是GET,POST,PUT,DELETE,HEAD
    同样支持通配符,如允许来自任何域的请求:

server {
        listen 80;
        server_name b.com;
        location /{
            Access-Control-Allow-Origin: *
        }
    }

0x1_2 高级配置

location / {
     if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        #
        # Custom headers and headers various browsers *should* be OK with but aren't
        #
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        #
        # Tell client that this pre-flight info is valid for 20 days
        #
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;
        return 204;
     }
     if ($request_method = 'POST') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
     }
     if ($request_method = 'GET') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
     }
}

因为POST跨域请求会先发一次OPTIONS的嗅探请求,所有有的场景涉及到设置OPTIONS。

0x2 参考文献

0x3关于我

  • @Author:Zemo
  • @Email:zemochen#126.com
  • 欢迎转载,让更多的人学到东西
Zemo
关注
专栏目录
CORS跨域资源共享漏洞
谢公子的博客
01-16 1万+
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何跨域获取资源,传送门——>浏览器同源策略和跨域的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一...
Nginx学习笔记(六)Nginx实现跨域cors)访问(2种方案)
nuaa042216的博客
10-07 1万+
Nginx实现跨域访问
Nginx实战(九)跨域配置解决CORS报错)
热门推荐
ouyida3的专栏
02-07 5万+
文章目录本章导读本章要点了解跨域以及产生原因跨域的常见解决方法方法一:add_header解决方案解释1. Access-Control-Allow-Origin2. Access-Control-Allow-Headers3. Access-Control-Allow-Methods4.给OPTIONS 添加 204的返回预检请求(preflight request)反向代理解决跨域1.'^~ ...
跨域漏洞处理:Nginx 配置处理 CORS 请求
最新发布
Java小白白的博客
07-30 1153
描述了如何使用 Nginx 配置来处理 CORS 请求,特别是应对非法域名请求的逻辑。这种配置可以帮助应对漏洞扫描或非法域名请求,并提供详细的处理方式。
CORS跨域资源共享)源验证失败解决方法
davidwkx的博客
02-17 8628
CORS跨域资源共享)漏洞处理
nginx 解决跨域问题——(CORS
赵忠洋的博客
12-22 3172
跨源资源共享(CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它源(域、协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。
Nginx使用“逻辑与”配置origin限制,修复CORS跨域漏洞
qq_53058639的博客
03-02 4032
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
nginx解决跨域问题的实例方法
09-29
本篇文章将详细介绍如何利用Nginx解决跨域问题。 首先,了解跨域的基本概念。跨域是指由于浏览器的同源策略,JavaScript只能请求与当前页面同源(协议、域名和端口都相同)的资源。当尝试请求不同源的资源时,就会...
Nginx配置跨域CORS
m0_67392409的博客
07-28 254
跨域请求就是指当前发起请求的域与该请求指向的资源所在的域不一样。这里的域指的是这样的一个概念我们认为若协议+域名+端口号均相同,那么就是同域。举个例子假如一个域名为aaa.cn的网站,它发起一个资源路径为aaa.cn/books/getBookInfo的Ajax请求,那么这个请求是同域的,因为资源路径的协议、域名以及端口号与当前域一致(例子中协议名默认为http,端口号默认为80)。...
Nginx解决CORS跨域问题
qq_38464112的博客
07-24 3594
介绍 为了增强学习过程中体感,通过演示代码模拟工作遇到的CORS跨域问题。演示代码中index.html页面使用ajax jquery调用php来重现工作中遇到跨域问题。( has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource和not allowed by Access-Control-Allow-Headers in prefligh..
Nginx配置允许CORS跨域请求
qq_41382215的博客
03-14 975
Nginx配置解决“has been blocked by CORS policy: No 'Access-control-Allow-0riginheader is present on the requested resource”跨域请求问题
通过 Nginx 修复 CORS 漏洞
范一刀的博客
07-16 869
发现 `Access-Control-Allow-Origin` 的值为 https://xxx.com.qa5bnet.cn
Nginx通过CORS实现跨域(转)
frank1998819
03-15 755
什么是CORS CORS是一个W3C标准,全称是跨域资源共享(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 当前几乎所有的浏览器(Internet Explorer 8+, Firefox 3.5+, Safari 4+和 Chrome 3+)都可通过名为跨域资源共享(Cr...
nginx处理cros跨域遇到的各种问题及解决方案,以及https配置和浏览器https不安全问题处理
wei1359765074410的博客
10-25 1万+
nginx的cros跨域和ssl配置
跨源资源共享
XXHolic
12-27 222
引子 CORS 全称 Cross-Origin Resource Sharing,跨源资源共享,是跨域解决方案之一,里面有不少的知识点,在此集中整理。 Origin My GitHub 简介 浏览器的同源策略是一个重要的安全机制,不同源的客户端在没有授权的情况下,不能够访问对方的资源。同源的定义是访问链接的协议、域名和端口号均相同。在实际应用中,合理的跨域请求对于一些应用程序也很重要, CO...
Nginx如何解决浏览器跨域问题Cors跨域资源共享解决跨域问题、浏览器的同源策略原理(Same-Origin Policy)源站Origin
Dontla的博客
07-21 2886
如果有了浏览器同源策略,浏览器就会判断,如果浏览器的源站,即发送请求的网页的域名(或IP地址),与请求服务器的接口的(域名(或ip地址)、端口、协议)不一致时,即为跨域请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同源策略通过限制跨域请求的访问权限,确保了网页只能访问与其来源相同的资源,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器同源策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据;
【安全漏洞】CORS跨域资源共享)
weixin_42925623的博客
11-22 1868
【安全漏洞】CORS跨域资源共享)
Nginx修复CORS漏洞方案(亲测可行)
fengxioabai的博客
03-20 3517
CORS漏洞修复的时候,网上有发现太多的漏洞修复方案,走了很多弯路,试了好多种方案都没办法修复,要么没生效or容易绕过,下面这个修复方式亲测可以修复(修改下面域名即可),供参考:
nginx配置跨域之后每次访问会发送两次请求
qq_35224032的博客
08-29 4803
公司项目从前后端不分离转到前后端分离 首先遇到的问题就是前后端分离的时候跨域的问题 但是当跨域成功配置并且能访问成功的时候发现 每次客户端的请求都会发送两次 第一次是OPTIONS的请求,然后才是正常的请求 查阅资料得到的结论是: 第一个OPTIONS的请求是由Web服务器处理跨域访问引发的。 OPTIONS是一种“预检请求”,浏览器在处理跨域访问的请求时如果判断请求为复杂请求,则会...
nginx解决cors跨域漏洞
05-27
解决nginxCORS跨域漏洞,可以使用以下措施: 1. 设置Access-Control-Allow-Origin头部:在nginx配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Origin' '*'; ``` 该头部指定允许跨域请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值