Nginx 设置禁用 OPTIONS 请求以及允许跨域

原创 已于 2022-11-17 21:28:25 修改 · 8.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

于 2022-05-10 09:51:37 首次发布
本文详细介绍了如何在Nginx中禁止OPTIONS请求并启用跨域功能,包括修改nginx配置、重启服务以及使用curl验证。同时展示了如何通过header配置来解决跨域问题,并提供了示例配置。

一、 Nginx 设置禁用 OPTIONS 请求

1、修改 nginx 配置

在 nginx.conf 配置文件中,增加如下内容:

if ($request_method ~* OPTIONS) {
        return 403;
}

效果如下:(如果配置了SSL,则需要在SSL也配置一下)

 

2、重启 nginx 服务

/usr/local/nginx/sbin -s reload


systemctl restart nginx


service nginx restart

3、功能验证

使用如下命令:

curl -v -X OPTIONS http://localhost:8080/

或者使用 postman 等浏览器模拟器访问验证

效果如下:

二、 Nginx允许跨域

解决方法:通过配置 header方式解决跨域

修改nginx server 配置,添加如下内容

#允许跨域请求的域,* 代表所有
add_header Access-Control-Allow-Origin '*';
#允许请求的header
add_header 'Access-Control-Allow-Headers' *;
#允许带上cookie请求
add_header Access-Control-Allow-Credentials 'true';
#允许请求的方法,比如 GET,POST,PUT,DELETE
add_header Access-Control-Allow-Methods '*';

 样例:

location /lthce/getBiata {
	proxy_pass  http://192.141.208.166:8920/lthce/getBiata;
    proxy_http_version 1.1;
	proxy_set_header Connection "";
    add_header Access-Control-Allow-Origin '*';
    add_header Access-Control-Allow-Headers Authorization;
    add_header Access-Control-Allow-Methods GET,POST;     
}

 注意:若考虑到安全性,也可以指定访问来源请求的域,示例:

add_header 'Access-Control-Allow-Origin' 'http://test1.xqiangme.top';

FaaS — Serverless — 实现原理
烟云的计算
09-07 2299
目录 文章目录目录请求驱动分布式运行时 请求驱动 请求驱动,也就是支持基于请求的动态弹性伸缩并且简化请求处理逻辑。有些同学可能把这个模型称之为 Event-driven,也就是事件驱动,但是请求驱动实际是事件驱动中的一个分支。 什么是请求驱动呢?从传统的微服务架构看,当一个外部系统请求进来后,一般都会经过一个 L4/L7 的负载均衡,然后给到不同的微服务实例上面。在同一个微服务实例本身进程的内部,一般会有两块逻辑,第一块逻辑是请求管理,它可能是一个 HTTP Server 和一些 Handlers,有一
nginx 和 springcloud gateway cors 如何设置
隔壁老瓦的专栏
06-17 1102
资源共享(CORS)配置中,和(如Spring Cloud Gateway、Kong等)是两种常见的解决方案,它们的配置逻辑和适用场景有所不同。
nginx配置--OPTIONS
uestczshen的专栏
03-15 1823
这是根据资源共享(CORS)规范定义的行为。在预检请求中,浏览器会发送一个 `OPTIONS` 请求,并携带一些相关的头字段,如 `Origin`、`Access-Control-Request-Method`、`Access-Control-Request-Headers` 等。因此,当你在发送 `PATCH` 请求时,如果服务器没有正确配置访问的相关响应头,浏览器会先发送一个 `OPTIONS` 请求进行预检,然后根据预检请求的响应头来决定是否继续发送实际的 `PATCH` 请求
Nginx配置--POST请求OPTIONS
一只菜鸟夹
05-24 3057
为什么与http的请求方法options有关系,因为当你获取资源时,浏览会出于安全的考虑会先使用OPTIONS请求,看能否正常返回,因为使用OPTIONS返回的是204状态码,无论是否正常返回页面都不会被跳转或者刷新。
Nginx 配置详细讲解
最新发布
2509_93961791的博客
11-05 368
资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,它使用额外的HTTP头部来告诉浏览器让运行在一个origin()上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个HTTP请求
Nginx 设置禁用 OPTIONS 请求以及允许教程!
高性价比服务器就选:蓝易云
07-01 3083
通过按照上述步骤,在Nginx设置禁用OPTIONS请求允许。请确保在编辑Nginx配置文件时使用正确的服务器名称或IP地址。替换为您的名或IP地址。替换为您的名或IP地址。
Nginx 设置禁用 OPTIONS 请求
ideal-lingyun
09-24 1866
Nginx 设置禁用 OPTIONS 请求
Nginx 配置解决问题
qq_28286027的博客
03-04 799
location /下添加如下配置: if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; # # Custom headers and headers various browsers *should* be
Nginx漏洞修复处理过程(验证通过)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
03-14 3109
## 背景 安全漏扫发现某业务网站存在Origin源不严格,从而造成问题,如下测试结果 ## 是指使用一个(网站)下的文档或脚本可去请求获取到另一个(网站)下的资源的可能风险。 ## 处理 ...
Linux下的Nginx怎么设置不开启cors资源共享功能
07-24
- 禁用 CORS 后,来自不同源的请求将被浏览器默认阻止,除非后端主动设置允许。 --- ### 示例配置片段(禁用 CORS 后) ```nginx server { listen 80; server_name example.com; location / { root /usr...
如何在不同 Web 服务器(如 Nginx、Apache、IIS)中禁用 OPTIONS 方法?
06-27
此外,也可以结合 `add_header` 设置严格的 CORS 策略,仅允许特定来源和方法,以避免滥用 OPTIONS 方法[^3]。 --- ### Apache 中禁用 HTTP OPTIONS 方法 Apache 可以通过 `mod_rewrite` 模块或 `<LimitExcept>` ...
HoRain云--Nginx安全配置:禁用OPTIONS实战
sinat_57153473的博客
08-04 566
Nginx安全配置指南:禁用OPTIONS请求设置 本文详细介绍了在Nginx禁用OPTIONS请求并安全配置(CORS)的完整方案。主要内容包括: 禁用OPTIONS请求:提供基础配置和增强策略,推荐同时拦截TRACE方法 配置:从测试环境的全放通配置到生产环境的名白名单方案 安全实践:强调最小权限原则、凭证控制及预检请求优化 验证方法:包含curl测试命令和浏览器端测试示例 常见问题:列举典型问题及解决方案 配置流程遵循安全优先原则,最后强调需通过nginx -t验证语法并重启服务
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1995
渗透测试结果为 不安全的HTTP方法 OPTIONS。spring项目可通过设置tomcat 或者 nginx 禁止
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法...
weixin_34357887的博客
10-19 910
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2 最后通过开源中国找到 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" e...
Tomcat过滤请求方式
q908544703的博客
06-02 1708
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
【HTTP】如何避免OPTIONS请求
热门推荐
smart_dream
03-01 3万+
场景:在调用后端接口的时候会出现两次请求OPTIONS请求和GET请求OPTIONS请求耗费了一定的时间,需减少OPTIONS请求。 查找原因是浏览器对简单请求和复杂请求的处理区别。 XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的, 此时需要遵守...
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE不安全方法
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。 三、nginx中的配置: server { listen ...
Nginx 关闭/屏蔽 PUT、DELETE、OPTIONS 请求
ideal-lingyun
09-24 5081
Nginx 关闭/屏蔽 PUT、DELETE、OPTIONS 请求
Nginx反向代理
飞云钰哥
08-07 624
server { listen 8015; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { proxy_pass http:/...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wd520521

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值