Nginx解决跨域问题(CORS)

最新推荐文章于 2025-04-25 15:30:00 发布
最新推荐文章于 2025-04-25 15:30:00 发布
阅读量2.2w 收藏 16
点赞数 3
分类专栏: 服务器配置 文章标签: nginx 跨域 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zemochen/article/details/53868817
版权

0x0前言

CORS(Cross-Origin Resource Sharing) 跨域资源共享,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。
如:a.com 请求b.com的资源时,就涉及到了跨域。目前常见的跨域解决方案一般分为如下几类:

  • jsonp返回值解决get请求
  • iframe解决跨域访问
  • Nginx 解决CORS

0x1 Nginx配置

0x1_1简单配置:

server {
        listen       80;
        server_name  b.com;
        location /{
            add_header 'Access-Control-Allow-Origin' 'http://a.com';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Access-Control-Allow-Methods' 'GET';
        }
}

  • add_header:授权从a.com的请求

  • 第二条add_header:当该标志为真时,响应于该请求是否可以被暴露

  • 第三条add_header:指定请求的方法,可以是GET,POST,PUT,DELETE,HEAD
    同样支持通配符,如允许来自任何域的请求:

server {
        listen 80;
        server_name b.com;
        location /{
            Access-Control-Allow-Origin: *
        }
    }

0x1_2 高级配置

location / {
     if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        #
        # Custom headers and headers various browsers *should* be OK with but aren't
        #
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        #
        # Tell client that this pre-flight info is valid for 20 days
        #
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;
        return 204;
     }
     if ($request_method = 'POST') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
     }
     if ($request_method = 'GET') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
     }
}

因为POST跨域请求会先发一次OPTIONS的嗅探请求,所有有的场景涉及到设置OPTIONS。

0x2 参考文献

0x3关于我

  • @Author:Zemo
  • @Email:zemochen#126.com
  • 欢迎转载,让更多的人学到东西
CORS资源共享漏洞
谢公子的博客
01-16 1万+
目录 CORS资源共享 简单请求 非简单请求 CORS的安全问题 有关于浏览器的同源策略和如何获取资源,传送门——>浏览器同源策略和的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一...
NGINX 解决问题
qq_41586848的博客
04-03 1453
问题主要出现在浏览器的同源策略下。根据同源策略,浏览器只允许页面向与其同源(协议、名和端口号都相同)的服务器发送请求。如果前端页面想要请求一个来自其他源(即不同名、协议或端口)的资源,浏览器会默认阻止请求,产生问题。例如,前端页面发送请求到,就会触发问题。这条配置允许浏览器发送和Accept等自定义请求头。如果你的前端代码中使用了这些请求头,必须在这里进行设置。通过 NGINX 配置 CORS 头部,我们可以灵活地解决问题,保证前端和后端能够顺利通信。
Nginx配置允许CORS请求
qq_41382215的博客
03-14 1189
Nginx配置解决“has been blocked by CORS policy: No 'Access-control-Allow-0riginheader is present on the requested resource”请求问题
CORS 完全指南:从原理到 Nginx/Apache 配置实战
MenzilBiz的博客
04-03 1392
CORS 是现代 Web 开发中不可避免的核心安全机制。通过深入理解其工作原理和精细配置服务器,开发者可以在保障安全性的同时实现灵活的源资源共享。本文提供的 Nginx 和 Apache 配置模板经过生产环境验证,可根据实际需求进行调整。记住,良好的 CORS 策略应该遵循最小权限原则,在开放必要访问的同时,最大限度地保护系统和用户数据安全。
nginx 解决问题——(CORS
赵忠洋的博客
12-22 3276
源资源共享(CORS,或通俗地译为资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它源(、协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的源资源的“预检”请求。并不会阻止请求的发出,也不会阻止请求的接受,是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个数据。
nginx配置代理请求接口出现CORS error
weixin_43493318的博客
09-24 1865
如果目标服务器在响应头中没有明确地指出允许其他的脚本访问资源,浏览器会阻止访问并在控制台中报出CORS错误CORS(Cross-Origin Resource Sharing,源资源共享)错误通常发生在Web应用尝试从与其自身所在的(origin)不同的(origin)发起请求获取资源时。确保在生产环境中根据实际需求设置Access-Control-Allow-Origin的值,不要随意使用*(表示允许所有),以避免潜在的安全风险。3、重启Nginx服务使配置生效。
Nginx实战(九)配置解决CORS报错)
热门推荐
ouyida3的专栏
02-07 5万+
文章目录本章导读本章要点了解以及产生原因的常见解决方法方法一:add_header解决方案解释1. Access-Control-Allow-Origin2. Access-Control-Allow-Headers3. Access-Control-Allow-Methods4.给OPTIONS 添加 204的返回预检请求(preflight request)反向代理解决1.'^~ ...
Nginx解决问题
最新发布
m0_72030584的博客
04-25 1072
Nginx解决问题
nginx解决问题的实例方法
09-29
本篇文章将详细介绍如何利用Nginx解决问题。 首先,了解的基本概念。是指由于浏览器的同源策略,JavaScript只能请求与当前页面同源(协议、名和端口都相同)的资源。当尝试请求不同源的资源时,就会...
Nginx配置CORS
web_15534206248的博客
09-10 288
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Nginx通过CORS实现(转)
frank1998819
03-15 838
什么是CORS CORS是一个W3C标准,全称是资源共享(Cross-origin resource sharing)。它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 当前几乎所有的浏览器(Internet Explorer 8+, Firefox 3.5+, Safari 4+和 Chrome 3+)都可通过名为资源共享(Cr...
Nginx常见错误
10-10
Nginx常见的错误解决方法,1、Nginx 常见启动错误 有的时候初次安装nginx的时候会报这样的错误 sbin/nginx -c conf/nginx.conf 报错内容:sbin/nginx: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory 启动时如果报异常error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory 这说明我们的环境还不是和启动需要
CORS资源共享)源验证失败解决方法
davidwkx的博客
02-17 1万+
CORS资源共享)漏洞处理
科普文:软件架构Nginx系列之【CORSNginx配置详解】
为无为,事无事,味无味。
08-24 1217
JSONP其实就是JSON另外一种的使用模式,一般情况下,我们都是用JSONP去解决访问的问题。对于同源策略,如果遇到两个名不同的网站是不能进行沟通的,但是对于网站的html中的元素就是一个例外。网页可以从其他源产生JSON,但是JSONP抓到的并不是JSON。什么是?1.CORS全称Cross-Origin Resource Sharing,意为资源共享。当一个资源去访问另一个不同名或者同名不同端口的资源时,就会发出请求。
nginx代理解决问题CORS错误
u014644574的博客
11-21 807
nginx代理解决问题CORS错误
Nginx使用“逻辑与”配置origin限制,修复CORS漏洞
qq_53058639的博客
03-02 5782
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Nginx解决CORS问题
qq_38464112的博客
07-24 3660
介绍 为了增强学习过程中体感,通过演示代码模拟工作遇到的CORS问题。演示代码中index.html页面使用ajax jquery调用php来重现工作中遇到问题。( has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource和not allowed by Access-Control-Allow-Headers in prefligh..
NGINX请求(CORS policy: No ‘Access-Control-Allow-Origin‘ header is present on the requested resource)
lxp199741的博客
11-21 2345
add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods *; add_header Access-Control-Allow-Headers *; 以上属于小白级配置添加在vhost配置文件里的server下的server_name下(安全级别很低,请参照nginx文档去选择个人适用的具体参数值) ...
通过 Nginx 修复 CORS 漏洞
范一刀的博客
07-16 2137
发现 `Access-Control-Allow-Origin` 的值为 https://xxx.com.qa5bnet.cn
Nginx 解决问题前端
03-20
### 解决 Nginx 中与前端相关的问题 为了使前端项目能够正常处理请求,可以通过配置 Nginx 来实现资源共享 (CORS)。以下是具体的解决方案: #### 1. 安装和确认 Nginx 是否已安装 确保服务器上已经安装了 Nginx。如果没有安装,则需要根据操作系统使用对应的包管理工具完成安装[^3]。 #### 2. 修改 Nginx 配置文件 打开 Nginx配置文件(通常路径为 `/etc/nginx/nginx.conf` 或 `/etc/nginx/conf.d/default.conf`)。在 `server` 块中添加或调整如下内容来支持请求: ```nginx http { server { listen 80; server_name your-domain.com; location /api/ { add_header 'Access-Control-Allow-Origin' '*'; # 允许所有名访问 add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type'; if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type'; return 204; # 对预检请求返回成功状态码 } proxy_pass http://backend-server-address/; } } } ``` 上述配置实现了以下功能: - **设置允许的源 (`Access-Control-Allow-Origin`):** 将其设为通配符 (*) 表示允许任何来源访问服务[^2]。 - **定义允许的方法 (`Access-Control-Allow-Methods`) 和头字段 (`Access-Control-Allow-Headers`):** 明确指定哪些 HTTP 方法以及自定义头部被接受。 - **处理预检请求 (Preflight Request)**:对于某些复杂请求(如带有自定义头部的 POST 请求),浏览器会发送一个 OPTIONS 请求作为预检。这里通过判断 `$request_method` 并返回适当的状态码 204 处理该情况。 #### 3. 测试并重新加载 Nginx 配置 保存更改后的配置文件后,测试语法是否正确,并重载 Nginx 使其应用新的配置: ```bash sudo nginx -t sudo systemctl reload nginx ``` 如果一切无误,Nginx 应当按照新设定工作,从而解决前端项目的问题[^4]。 --- ### 注意事项 - 如果仅希望特定名能访问 API 接口而不是全部开放给互联网上的任意站点,请将 `'Access-Control-Allow-Origin' '*'` 替换为目标网站的具体 URL 地址。 - 当遇到错误代码如 502 Bad Gateway 时,可能是因为反向代理目标不可达等原因引起;此时需核查上游服务器地址是否填写准确以及网络连通状况良好[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值