使用 Nginx 輕松處理跨域請求（CORS）

在現(xiàn)代 Web 開發(fā)中，跨域資源共享（CORS）是一種重要的機制，用于解決瀏覽器的同源策略限制。CORS 允許服務(wù)器聲明哪些來源可以訪問其資源，從而確保安全性與可用性。本文將介紹如何在 Nginx 中配置跨域訪問，并詳細解析每個配置項的作用和用法。

什么是 CORS？

CORS（Cross-Origin Resource Sharing）是一種 HTTP 頭部機制，允許服務(wù)器聲明哪些外部域（origin）可以訪問其資源。由于安全原因，瀏覽器通常不允許跨域請求，但通過 CORS，服務(wù)器可以顯式地允許某些域訪問其資源。

為什么需要 CORS？

• 安全性：保護用戶數(shù)據(jù)，防止惡意網(wǎng)站進行未授權(quán)訪問。
• API 訪問：允許前端應(yīng)用（如 React、Vue.js 等）安全地調(diào)用后端 API。
• 多源共享：在不同的子域、域或協(xié)議間共享資源。

Nginx 跨域配置示例

下面是一個 Nginx 跨域配置的示例代碼：

# 設(shè)置跨域配置 Start
set $cors_origin "";
if ($http_origin ~* "^(https://x1.domain.com|https://x2.domain.com)$"){set $cors_origin $http_origin;
}
add_header Access-Control-Allow-Origin $cors_origin always; 
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS always;
add_header Access-Control-Allow-Credentials true always;
add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization,x-auth-token always;
add_header Access-Control-Max-Age 1728000 always;
# 預檢請求處理
if ($request_method = OPTIONS) {return 204;
}
# 設(shè)置跨域配置 End

配置說明

1. 設(shè)置 CORS Origin：

   • set $cors_origin "";：初始化 CORS 源為空，以備后續(xù)條件使用。
   • if ($http_origin ~* "^(https://x1.domain.com|https://x2.domain.com)$")：正則表達式用于匹配允許的來源。此示例中，只有來自 mnswx.xjyun.cn 的請求會被允許。
   • set $cors_origin $http_origin;：如果來源匹配，則將 $http_origin 的值賦給 $cors_origin。

2. 添加 CORS 相關(guān)頭部：

   • add_header Access-Control-Allow-Origin $cors_origin always;：設(shè)置允許的來源。如果 $cors_origin 為空，將不會返回該頭部，從而避免潛在的安全問題。
   • add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS always;：指定允許的 HTTP 方法?？梢愿鶕?jù)需求添加或刪除方法。
   • add_header Access-Control-Allow-Credentials true always;：允許客戶端發(fā)送憑證（如 cookies）。如果需要此項，客戶端的請求也需要設(shè)置 withCredentials。
   • add_header Access-Control-Allow-Headers ...：允許特定的自定義請求頭，確保前端應(yīng)用能夠發(fā)送必要的自定義頭部。
   • add_header Access-Control-Max-Age 1728000 always;：設(shè)置預檢請求的緩存時間，單位為秒。此設(shè)置可減少頻繁的預檢請求，提高性能。

3. 處理預檢請求：

   • if ($request_method = OPTIONS) { return 204; }：對 OPTIONS 請求返回 204 狀態(tài)碼，表示請求成功但無內(nèi)容返回。這樣可以有效處理瀏覽器發(fā)起的預檢請求。

常見問題

1. 如何調(diào)試 CORS 問題？

   • 使用瀏覽器的開發(fā)者工具，查看網(wǎng)絡(luò)請求的響應(yīng)頭部，確認 CORS 頭部是否正確設(shè)置。
   • 檢查是否存在跨域錯誤信息，確保允許的來源匹配請求來源。

2. 如何處理多個允許的來源？

   • 可以將多個域名用 | 連接，添加到正則表達式中。
   • 另一種方法是通過 Lua 腳本或其他處理邏輯動態(tài)判斷來源。

3. CORS 和安全性

   • CORS 不是安全機制，而是一個合規(guī)性聲明。確保只允許信任的域訪問資源，以降低安全風險。

完整配置示例

以下是一個更完整的示例，展示了如何在 Nginx 的 server 塊中配置 CORS：

server
{listen 80;listen 443 ssl http2;server_name x.domain.com;index index.php index.html index.htm default.php default.htm default.html;root /www/wwwroot/domain.com/public;# 設(shè)置跨域配置 Startset $cors_origin "";if ($http_origin ~* "^(http://https://x1.domain.com|https://x2.domain.com)$"){set $cors_origin $http_origin;}add_header Access-Control-Allow-Origin $cors_origin always; add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS always;add_header Access-Control-Allow-Credentials true always;add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization,x-auth-token always;add_header Access-Control-Max-Age 1728000 always;# 預檢請求處理if ($request_method = OPTIONS) {return 204;}# 設(shè)置跨域配置 End#禁止在證書驗證目錄放入敏感文件if ( $uri ~ "^/.well-known/.*.(php|jsp|py|js|css|lua|ts|go|zip|tar.gz|rar|7z|sql|bak)$" ) {return 403;}location ~ .*.(gif|jpg|jpeg|png|bmp|swf)${expires      30d;error_log /dev/null;access_log /dev/null;}location ~ .*.(js|css)?${expires      12h;error_log /dev/null;access_log /dev/null;}access_log  /www/wwwlogs/x.domain.com.log;error_log  /www/wwwlogs/rc.kkdl.cn.error.log;
}

在這個示例中，x1.domain.com 和 x2.domain.com 域名的請求將啟用 CORS 配置。

如果需要讓Cors只對某一個路徑的請求生效，可以參考一下配置示例：

server {listen 80;server_name example.com;location /api/ {set $cors_origin "";if ($http_origin ~* "^(http://example.com|https://example.com)$") {set $cors_origin $http_origin;}add_header Access-Control-Allow-Origin $cors_origin always;add_header Access-Control-Allow-Methods GET, POST, OPTIONS always;add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization always;add_header Access-Control-Allow-Credentials true always;add_header Access-Control-Max-Age 86400 always;if ($request_method = OPTIONS) {return 204;}proxy_pass http://backend_server;  # 將請求代理到后端服務(wù)器}
}

在這個示例中，/api/ 路徑下的請求將啟用 CORS 配置，并且請求將被代理到 backend_server。

結(jié)論

通過上述配置，Nginx 能夠正確處理跨域請求，允許指定的來源訪問資源。合理的跨域配置不僅可以增強 Web 應(yīng)用的靈活性，還能提高安全性。在實際應(yīng)用中，記得根據(jù)需要進行調(diào)整和優(yōu)化。希望本文對您有所幫助，歡迎討論與交流。