Nginx 跨域(CORS)配置详细介绍

原创 于 2025-08-06 15:19:32 发布 · 218 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

跨域资源共享(CORS)是现代浏览器安全策略的一部分,Nginx可以通过配置响应头来解决跨域问题。以下是完整的配置方案:

基础跨域配置

在Nginx配置文件的 serverlocation 块中添加以下指令:

location / {
    # 允许所有域名跨域访问(生产环境应限制为具体域名)
    add_header 'Access-Control-Allow-Origin' '*';
    
    # 允许的请求方法
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE';
    
    # 允许的请求头
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,Authorization';
    
    # 预检请求(OPTIONS)缓存时间
    add_header 'Access-Control-Max-Age' 1728000;
    
    # 允许浏览器在跨域请求中携带Cookie
    add_header 'Access-Control-Allow-Credentials' 'true';
    
    # 处理OPTIONS预检请求
    if ($request_method = 'OPTIONS') {
        return 204;
    }
}

生产环境推荐配置

map $http_origin $cors_origin {
    default "";
    "~^https://(www\.)?yourdomain\.com$" $http_origin;
    "~^https://(.*\.)?yourotherdomain\.com$" $http_origin;
}

server {
    location /api/ {
        # 动态设置允许的源
        add_header 'Access-Control-Allow-Origin' $cors_origin;
        
        add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization, X-Requested-With';
        add_header 'Access-Control-Expose-Headers' 'Content-Length, Content-Range';
        add_header 'Access-Control-Allow-Credentials' 'true';
        
        if ($request_method = 'OPTIONS') {
            add_header 'Access-Control-Max-Age' 1728000;
            add_header 'Content-Type' 'text/plain; charset=utf-8';
            add_header 'Content-Length' 0;
            return 204;
        }
        
        # 你的其他代理配置...
        proxy_pass http://backend;
    }
}

常见问题解决方案

  1. 多个域名配置

    map $http_origin $cors_origin {
    default "";
    "~^https://(www\.)?domain1\.com$" $http_origin;
    "~^https://(www\.)?domain2\.com$" $http_origin;
}

  2. 携带Cookie问题

    • 必须指定具体域名(不能是*)
    • 必须设置 Access-Control-Allow-Credentials: true
    • 前端需要设置 withCredentials: true

  3. 自定义头问题

    add_header 'Access-Control-Allow-Headers' 'X-Custom-Header, Authorization';

  4. Vue/React开发环境代理

    location /api {
    proxy_pass http://localhost:8080;
    proxy_set_header Host $host;
    # 跨域头设置...
}

配置测试方法

  1. 检查Nginx配置语法:

    sudo nginx -t

  2. 重载Nginx配置:

    sudo nginx -s reload

  3. 使用curl测试:

    curl -I -X OPTIONS http://yourdomain.com/api -H "Origin: http://test.com"

  4. 浏览器开发者工具检查响应头

注意事项

  1. 生产环境不要使用 Access-Control-Allow-Origin: *Access-Control-Allow-Credentials: true 同时存在
  2. 对于简单请求(GET/POST/HEAD)和预检请求(OPTIONS)都要正确处理
  3. 缓存控制头不要覆盖CORS头
  4. 使用HTTPS时确保所有来源也是HTTPS

正确配置CORS可以确保你的API安全地支持跨域访问,同时防止CSRF等安全问题。

一桥飞架南北,Nginx配置秘籍:从0到精通,解锁 CORS 无障碍交流?
java专栏
06-24 461
🔥关注墨瑾轩,带你探索Java的奥秘🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
nginx-CORS配置
icepopfh的博客
07-14 379
资源限制是浏览器限制的,后端直接访问没有经过浏览器是可以访问的。
Nginx配置CORS
Baby_pw的博客
01-17 534
Nginx配置CORS
Nginx配置CORS
热门推荐
weixin_44273388的博客
04-15 5万+
nginx配置
Nginx 问题(CORS
sre救赎之路
06-04 752
当 WebSocket 客户端(如 JavaScript)与服务端名不一致时,会触发浏览器的 CORS 检查。在使用 Nginx 部署 WebSocket 服务时,资源共享(CORS)问题是常见的挑战。:WebSocket 本身不受同源策略限制,但 JavaScript 调用受 CORS 约束。通过以上配置Nginx 可以有效解决 WebSocket 服务的问题,同时保持安全性。对于复杂请求(如带自定义头的 WebSocket),浏览器会先发。:确保该头包含客户端名。:明确指定允许的名。
Nginx | Nginx配置(CORS)
苏老师的博客
10-19 2万+
Nginx-配置(CORS) CORS 什么是CORS ? CORS是一个W3C的标准,全称是资源共享(Cross-origin resource sharing). 他允许浏览器向源服务器,发出XMLHttpRequest请求,从而客服了AJAX只能同源使用的限制. 当前几乎所有的浏览器都可以通过CORS的协议支持AJAX调用. 简单来说就是的目标服务器要返回的一系列的Headers,通过这些Headers来通知是否同意. Nginx通过CROS 实现 #设置Origin
Nginx配置资源共享(CORS)的详细示例,涵盖常见场景及安全实践
最新发布
csdn_tom_168的博客
06-17 628
本文提供了Nginx配置资源共享(CORS)的完整方案,包含基础配置、安全实践和高级场景。主要内容包括:基础CORS配置(允许所有源)、安全配置(限制特定源)、携带Cookie/认证信息的实现方法、自定义响应头暴露配置,以及安全加固建议。文章还介绍配置验证方法、常见问题排查技巧,并强调最小权限原则和日志监控的重要性。这些配置示例覆盖了CORS的核心场景,可根据实际需求扩展JWT验证、动态源白名单等功能。建议通过浏览器工具和安全扫描定期审计策略。
nginx配置_
m0_37643701的博客
03-15 950
最小权限原则精确指定Allowed-Origin名按需开放HTTP方法和请求头防御性编程校验Origin头格式有效性防范Null Origin攻击监控审计实时监控CORS违规事件定期审计配置有效性协议遵循正确处理CORS与Cookie的交互遵循Fetch Metadata规范。
Nginx 配置详细讲解
m0_74825699的博客
02-26 732
资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP头部来告诉浏览器让运行在一个origin()上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个HTTP请求。
使用 Nginx 轻松处理请求(CORS
MenzilBiz的博客
10-18 3327
CORS(Cross-Origin Resource Sharing)是一种 HTTP 头部机制,允许服务器声明哪些外部(origin)可以访问其资源。由于安全原因,浏览器通常不允许请求,但通过 CORS,服务器可以显式地允许某些访问其资源。
nginx代理解决问题CORS错误
u014644574的博客
11-21 904
nginx代理解决问题CORS错误
nginx服务器通过配置来解决API的问题
01-10
前言 ... 如采用firebug调试API请求(这个API是自己服务器的应用),看到服务器明明返回200状态,response返回数据也是json格式,但ajax返回的error。 在排除json数据格式不正确的...后来才知道是问题(CORS),因为
Nginx CORS配置全面指南:解决前端问题
记录学习的过程
05-27 1372
本文详细介绍NginxCORS资源共享的配置方法。主要内容包括:1) 问题基础概念,分析不同场景下的CORS触发条件;2) 基础CORS配置与核心响应头详解;3) 高级配置技巧,如动态源设置和预检请求处理;4) 带凭证请求的特殊配置;5) 性能优化策略。文章通过Nginx配置示例、流程图和对比表格,系统讲解了从简单到复杂的企业级CORS解决方案,帮助开发者正确处理现代Web应用中的问题。
如何使用 Nginx 解决问题 (CORS)
hello.reader
08-27 3805
资源共享 (CORS, Cross-Origin Resource Sharing) 是一种机制,它允许一个名下的网页资源被来自另一个名的网页所访问。这在现代 web 开发中非常常见,因为前端和后端通常托管在不同的服务器上。然而,默认情况下,浏览器会阻止请求,导致开发者在实现前后端分离时遇到问题。本文将通过 Nginx 来解决这个问题,详细讲解步骤,适合刚接触 NginxCORS 的新手。CORS 是一种浏览器安全机制,用于决定 Web 应用是否能够请求资源。
安装启动 Supervisor
★匆匆★的专栏
08-26 7341
supervisor英文文档:http://supervisord.org/introduction.html 1、安装:pip install supervisor==3.0 2、拷贝配置文件到 /ect目录下:echo_supervisord_conf>/etc/supervisord.conf 3、启动:supervisord -c /etc/supervisord.c...
树莓派两个无线网卡搭建wifi
★匆匆★的专栏
12-09 1983
参考: http://blog.youkuaiyun.com/btyh17mxy/article/details/17281781 http://blog.youkuaiyun.com/xukai871105/article/details/42497097/ 我的两个网卡分别为 wlan0 作为内部局网AP,wlan1链接外网 一、配置DHCP服务器 1、固定内部网卡IP地址
TCP 连接状态图 ,TIME_WAIT,CLOSE_WAIT解决办法
★匆匆★的专栏
01-11 1731
TCP联机在各种状态之间变动的状况与顺序,其中TIME_WAIT联机已经是TCP联机在完全关闭联机状态(CLOSED)之前的一个状态(注:完全关闭联机是指网络完整断线的意思),而预设TIME_WAIT的逾时时间为MSL(Maximum Segment Lifetime)时间的两倍,在RFC 793规格定义的MSL为两分钟,也就是在预设的情况下,每一条联机从打算关闭联机状态(Closing)换到...
CentOS 安装HTTP代理服务器 Squid
★匆匆★的专栏
11-02 1258
Squid 是一个功能全面的缓存代理,它支持著名的网络协议像 HTTP,HTTPS,FTP 等等。将 Squid 放在网页服务器的前端,通过缓存重复请求,过滤网络流量等,可以极大地提高服务器的性能。这篇指南将会讲解如何在 CentOS 7 上建立 Squid,并且配置火狐和 Google 浏览器来使用这个代理服务器。
nginx配置cors实现
08-30
要在Nginx配置CORS源资源共享),您需要编辑Nginx配置文件并添加相关配置。 首先,打开Nginx配置文件。默认情况下,该文件通常位于以下位置之一: - /etc/nginx/nginx.conf - /etc/nginx/conf.d/default.conf 找到您希望启用CORS的服务器块或位置块,并在其中添加以下配置: ``` location / { # 允许的来源(名) if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Max-Age' 1728000; add_header 'Content-Type' 'text/plain charset=UTF-8'; add_header 'Content-Length' 0; return 204; } if ($request_method = 'POST') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range'; } if ($request_method = 'GET') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range'; } # 其他配置... } ``` 在上面的配置中,我们允许所有来源('*')访问。您可以根据需要更改为特定的名。 配置完成后,保存文件并重新加载Nginx配置,以使更改生效。您可以使用以下命令重新加载Nginx: ``` sudo service nginx reload ``` 现在,您的Nginx服务器应该已经启用了CORS,并允许访问。请确保您的应用程序也正确处理CORS 头部。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值