Nginx配置跨域请求Access-Control-Allow-Origin * 详解
前言
当出现403跨域错误的时候No'Access-Control-Allow-Origin'headerispresentontherequestedresource,需要给Nginx服务器配置响应的header参数:
一、解决方案
只需要在Nginx的配置文件中配置以下参数:
location/{
add_headerAccess-Control-Allow-Origin*;
add_headerAccess-Control-Allow-Methods'GET,POST,OPTIONS';
add_headerAccess-Control-Allow-Headers'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
if($request_method='OPTIONS'){
return204;
}
}
上面配置代码即可解决问题了,不想深入研究的,看到这里就可以啦=-=
二、解释
1.Access-Control-Allow-Origin
服务器默认是不被允许跨域的。给Nginx服务器配置`Access-Control-Allow-Origin*`后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。
2.Access-Control-Allow-Headers是为了防止出现以下错误:
RequestheaderfieldContent-TypeisnotallowedbyAccess-Control-Allow-Headersinpreflightresponse.
这个错误表示当前请求Content-Type的值不被支持。其实是我们发起了"application/json"的类型请求导致的。这里涉及到一个概念:预检请求(preflightrequest),请看下面"预检请求"的介绍。
3.Access-Control-Allow-Methods是为了防止出现以下错误:
Content-TypeisnotallowedbyAccess-Control-Allow-Headersinpreflightresponse.
4.给OPTIONS添加204的返回,是为了处理在发送POST请求时Nginx依然拒绝访问的错误
发送"预检请求"时,需要用到方法OPTIONS,所以服务器需要允许该方法。
三、预检请求(preflightrequest)
其实上面的配置涉及到了一个W3C标准:CROS,全称是跨域资源共享(Cross-originresourcesharing),它的提出就是为了解决跨域请求的。
跨域资源共享(CORS)标准新增了一组HTTP首部字段,允许服务器声明哪些源站有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的HTTP请求方法(特别是GET以外的HTTP请求,或者搭配某些MIME类型的POST请求),浏览器必须首先使用OPTIONS方法发起一个预检请求(preflightrequest),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的HTTP请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括Cookies和HTTP认证相关数据)。
其实Content-Type字段的类型为application/json的请求就是上面所说的搭配某些MIME类型的POST请求,CORS规定,Content-Type不属于以下MIME类型的,都属于预检请求:
application/x-www-form-urlencoded
multipart/form-data
text/plain
所以application/json的请求会在正式通信之前,增加一次"预检"请求,这次"预检"请求会带上头部信息Access-Control-Request-Headers:Content-Type:
OPTIONS/api/testHTTP/1.1 Origin:http://foo.example Access-Control-Request-Method:POST Access-Control-Request-Headers:Content-Type ...省略了一些
服务器回应时,返回的头部信息如果不包含Access-Control-Allow-Headers:Content-Type则表示不接受非默认的的Content-Type。即出现以下错误:
RequestheaderfieldContent-TypeisnotallowedbyAccess-Control-Allow-Headersinpreflightresponse.
参考文章:
- 阮一峰【跨域资源共享CORS详解】
- MDNwebdocs【HTTP访问控制(CORS)】
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对毛票票的支持。