nginx跨域请求Access-Control-Allow-Origin

最新推荐文章于 2025-10-27 13:26:10 发布
原创 最新推荐文章于 2025-10-27 13:26:10 发布 · 2.4k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

前言

当出现403跨域错误的时候 No ‘Access-Control-Allow-Origin’ header is present on the requested resource,需要给Nginx服务器配置响应的header参数:

一、 解决方案

只需要在Nginx的配置文件中配置以下参数:

location / { 
 add_header Access-Control-Allow-Origin *;
 add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
 add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

 if ($request_method = 'OPTIONS') {
  return 204;
 }
}

上面配置代码即可解决问题了。一般而言只需要配置Access-Control-Allow-Origin *

二、 解释

  1. Access-Control-Allow-Origin

服务器默认是不被允许跨域的。给Nginx服务器配置Access-Control-Allow-Origin *后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。

  1. Access-Control-Allow-Headers 是为了防止出现以下错误:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

这个错误表示当前请求Content-Type的值不被支持。其实是我们发起了"application/json"的类型请求导致的。这里涉及到一个概念:预检请求(preflight request),请看下面"预检请求"的介绍。

  1. Access-Control-Allow-Methods 是为了防止出现以下错误:

Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

  1. 给OPTIONS 添加 204的返回,是为了处理在发送POST请求时Nginx依然拒绝访问的错误

发送"预检请求"时,需要用到方法 OPTIONS ,所以服务器需要允许该方法。

三、 预检请求(preflight request)

其实上面的配置涉及到了一个W3C标准:CROS,全称是跨域资源共享 (Cross-origin resource sharing),它的提出就是为了解决跨域请求的。

跨域资源共享(CORS)标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。

其实Content-Type字段的类型为application/json的请求就是上面所说的搭配某些 MIME 类型的 POST 请求,CORS规定,Content-Type不属于以下MIME类型的,都属于预检请求:

application/x-www-form-urlencoded
multipart/form-data
text/plain

所以 application/json的请求 会在正式通信之前,增加一次"预检"请求,这次"预检"请求会带上头部信息 Access-Control-Request-Headers: Content-Type

OPTIONS /api/test HTTP/1.1
Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
... 省略了一些

服务器回应时,返回的头部信息如果不包含Access-Control-Allow-Headers: Content-Type则表示不接受非默认的的Content-Type。即出现以下错误:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

No 'Access-Control-Allow-Origin' header is present on the requested resource. 问题!
开心就好~~~专栏
01-23 19万+
问题项目背景车祸现场解决问题总结 项目背景 前端:VUE 后端:Java JDK 1.8 Springboot 1.5.12 maven 3.3.9 服务器环境:Linux nginx 数据库:mysql 车祸现场 1、废话不说直接上干货 仔细一点可以看出,NoAccess-Control-Allow-Originheader is present on the requested...
解决宝塔 Nginx 问题Access-Control-Allow-Origin
m0_67394360的博客
07-30 2647
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。同源策略/SOP(Sameoriginpolicy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。a前端页面想调取b的接口,如果a、b页面的协议、名、端口、子名不同,所进行的访问行动都是的,而浏览器为了安全问题一般都限制了访问,也就是不允许请求资源。...
静态文件访问不到报No Access-Control-Allow-Origin处理办法
06-11
静态文件访问不到报No 'Access-Control-Allow-Origin' header is present on the requested resource处理办法
Access-Control-Allow-Origin 详解
最新发布
SUNGUOGUO1的博客
10-27 603
是HTTP响应头中的一个字段,用于。→ 这会导致安全漏洞!
Nginx解决转发地址时的问题
01-20
一、什么是问题 在一个服务器A里放置了json文件,另一个服务器B想向A发送ajax请求,获取此文件,会发生错误。 Chrome提示: XMLHttpRequest cannot load ******. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. 这就是问题。解决方案有不少,比较好的是服务器端配置CORS,但要求服务器端做更改。如果在不需要更改服务器端的情况下解决呢?尤其是需要在
Nginx配置请求 Access-Control-Allow-Origin *
weixin_34247032的博客
12-23 3768
当出现403错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数: 一、 解决方案 只需要在Nginx的配置文件中配置以下参数: location / { add...
没错,就是Access-Control-Allow-Origin
juruiyuan111的专栏
03-19 742
1、浏览器的同源安全策略 没错,就是这家伙干的,浏览器只允许请求当前的资源,而对其他的资源表示不信任。那怎么才算呢? 请求协议http,https的不同 domain的不同 端口port的不同 好好好,大概就是这么回事啦,下面我们讲2种中规中矩的办法:CORS,JSONP document.domain,window.name,web sockets就先别闹了,腰不好 : ) 2、CORS出来搞事了 这是W3C的大佬们搞出来的标准,全称是"资源共享"(Cross-ori...
Nginx配置请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的行为。...
Nginx设置Access-Control-Allow-Origin无效的解决办法
09-30
然而,有时在Nginx服务器上设置`Access-Control-Allow-Origin`后,依然会出现请求失败的情况。本文将探讨这个问题,并提供一种有效的解决方案。 首先,我们需要了解`Access-Control-Allow-Origin`这个HTTP响应...
NginxAccess-Control-Allow-Origin” 安全配置
王小工小工历程
04-02 4460
通过白名单限制允许名,避免使用Access-Control-Allow-Origin *,以减少CSRF等安全风险‌。以上配置通过动态名匹配、严格限制方法/头部、正确处理预检请求及补充安全头,实现既灵活又安全的CORS策略‌15。)中不重复设置头,防止响应头冲突‌。若需携带Cookie等凭证,需显式设置。确保在错误处理块(如。
ajax 设置Access-Control-Allow-Origin实现访问
06-06
ajax访问是一个老问题了,解决方法很多,比较常用的是JSONP方法,JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全。 即使使用jquery的jsonp方法,type设为POST,也会自动变为GET。如果使用POST方式,可以使用创建一个隐藏的iframe来实现,与ajax上传图片原理一样,但这样会比较麻烦。因此,通过设置Access-Control-Allow-Origin来实现访问比较简单。
Access-Control-Allow-Origin
08-27
谷歌浏览器扩展程序一键解决本地开发问题,让你不用乱mock数据,Access-Control-Allow-Origin工具包
Access-Control-Allow-Origin问题,使用Nginx配置来解决
wangzuao的博客
06-14 1万+
例如:A服务器是liunx系统部署了一个java程序,B服务器是本地服务器,A服务器需要请求访问B服务器的资源,可以用nginx代理来请求到B服务器的资源。链接: nginx步骤:下载完成后安装运行在A服务器上面,先运行看看有没有问题,这里不细说,然后找到开始配置nginx.conf文件(重点) 一、如何配置你的nginx.conf 添加一个server{},这是你的服务,listen参数是你要监听的端口,这个端口可以自定义,server_name localhost,这个一般就是A服务器的名地址,记
Nginx配置请求 Access-Control-Allow-Origin
weixin_40378548的博客
03-17 543
Nginx配置请求 Access-Control-Allow-Origin * 当出现403错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数: 一、 解决方案 只需要在Nginx的配置文件中配置以下参数:即可 location...
Access-Control-Allow-Origin 设置多
WHACKW的专栏
01-30 1万+
在HTML5中有一种新的方式,即设置“Access-Control-Allow-Origin”可以指定允许访问的名。 Node.js中可以这样写 app.all(‘*’, function(req, res, next) { res.header(“Access-Control-Allow-Origin”, ‘https://www.google.com‘);
解决nginx请求问题
张步云的专栏
05-13 3709
上篇文章谈过了springboot在中的两种解决方法,但是可能还需要在web容器上做些支持,才能完美解决的问题。 https://blog.youkuaiyun.com/bebmwnz/article/details/90168367《springboot在中的两种解决方法》 location / { root /home/project/mini; ...
解决办法:利用 Access-Control-Allow-Origin
热门推荐
CaseyWei
04-19 4万+
传统的请求没有好的解决方案,无非就是jsonp和iframe,随着请求的应用越来越多,W3C提供了请求的标准方案(Cross-Origin Resource Sharing)。IE8、Firefox 3.5 及其以后的版本、Chrome浏览器、Safari 4 等已经实现了 Cross-Origin Resource Sharing 规范,实现了请求。 在服务器响应客户...
nginx解决Access-Control-Allow-Origin
01-03
### Nginx 配置解决问题 为了使Nginx能够处理来自不同源的HTTP请求,即解决CORS(Cross-Origin Resource Sharing)问题,在Nginx配置文件中添加特定的响应头是必要的措施之一。对于`Access-Control-Allow-Origin`头部来说,可以通过如下方式来设置: #### 方法一:全局配置允许所有名访问 如果目标是在开发环境中快速验证功能或是确实需要开放给任何来源站点访问资源,则可以在http、server或location上下文中加入以下指令[^1]。 ```nginx add_header Access-Control-Allow-Origin *; ``` 然而需要注意的是,这种做法存在安全隐患,因为它意味着所有的外部网站都可以无条件地向该服务发起请求并获取数据。 #### 方法二:指定单个或多个可信任的名 更安全的做法是指定具体的可信源站地址作为`Access-Control-Allow-Origin`的值。这可以有效防止未经授权的第三方网站滥用API接口。 ```nginx add_header Access-Control-Allow-Origin http://example.com; # 或者支持多名时使用正则表达式匹配 if ($http_origin ~* (http://|https://)(www\.)?(domain1\.com|domain2\.com)) { add_header Access-Control-Allow-Origin $http_origin; } ``` 除了上述基本配置外,有时还需要额外声明其他相关联的CORS头部信息以便更好地控制资源共享行为,比如允许哪些方法(`GET`, `POST`)以及自定义请求头字段等[^3]。 ```nginx add_header Access-Control-Allow-Methods "GET, POST, OPTIONS"; add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept"; ``` 特别注意针对预检请求(Preflight Request),也就是浏览器发送OPTIONS类型的探测性请求之前端会先询问服务器是否同意实际操作所携带的方法和headers组合;因此建议为这类特殊场景也做好相应准备。 最后提醒一点关于字体文件之类的静态资源,默认情况下它们不会自动带上这些CORS相关的头部信息,所以如果你的应用涉及到此类资产加载失败的情况,请记得单独为其路径下的资源加上合适的cross-origin属性或者调整Nginx配置以确保正常工作[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iningwei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值