2. 程式人生 > 資料庫 >Nginx配置跨域請求Access-Control-Allow-Origin * 詳解

Nginx配置跨域請求Access-Control-Allow-Origin * 詳解

阿新 發佈:2020-01-09

前言

當出現403跨域錯誤的時候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要給Nginx伺服器配置響應的header引數:

一、 解決方案

只需要在Nginx的配置檔案中配置以下引數:

location / { 
 add_header Access-Control-Allow-Origin *;
 add_header Access-Control-Allow-Methods 'GET,POST,OPTIONS';
 add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

 if ($request_method = 'OPTIONS') {
  return 204;
 }
}

上面配置程式碼即可解決問題了,不想深入研究的,看到這裡就可以啦=-=

二、 解釋

1. Access-Control-Allow-Origin

伺服器預設是不被允許跨域的。給Nginx伺服器配置`Access-Control-Allow-Origin *`後,表示伺服器可以接受所有的請求源(Origin),即接受所有跨域的請求。

2. Access-Control-Allow-Headers 是為了防止出現以下錯誤:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

這個錯誤表示當前請求Content-Type的值不被支援。其實是我們發起了"application/json"的型別請求導致的。這裡涉及到一個概念:預檢請求(preflight request),請看下面"預檢請求"的介紹。

3. Access-Control-Allow-Methods 是為了防止出現以下錯誤:

Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

4.給OPTIONS 新增 204的返回,是為了處理在傳送POST請求時Nginx依然拒絕訪問的錯誤

傳送"預檢請求"時,需要用到方法 OPTIONS,所以伺服器需要允許該方法。

三、 預檢請求(preflight request)

其實上面的配置涉及到了一個W3C標準:CROS,全稱是跨域資源共享 (Cross-origin resource sharing),它的提出就是為了解決跨域請求的。

跨域資源共享(CORS)標準新增了一組 HTTP 首部欄位,允許伺服器宣告哪些源站有許可權訪問哪些資源。另外,規範要求,對那些可能對伺服器資料產生副作用的HTTP 請求方法(特別是 GET 以外的 HTTP 請求,或者搭配某些 MIME 型別的 POST 請求),瀏覽器必須首先使用 OPTIONS 方法發起一個預檢請求(preflight request),從而獲知服務端是否允許該跨域請求。伺服器確認允許之後,才發起實際的 HTTP 請求。在預檢請求的返回中,伺服器端也可以通知客戶端,是否需要攜帶身份憑證(包括 Cookies 和 HTTP 認證相關資料)。

其實Content-Type欄位的型別為application/json的請求就是上面所說的搭配某些 MIME 型別的 POST 請求,CORS規定,Content-Type不屬於以下MIME型別的,都屬於預檢請求:

application/x-www-form-urlencoded
multipart/form-data
text/plain

所以 application/json的請求 會在正式通訊之前,增加一次"預檢"請求,這次"預檢"請求會帶上頭部資訊 Access-Control-Request-Headers: Content-Type:

OPTIONS /api/test HTTP/1.1
Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
... 省略了一些

伺服器迴應時,返回的頭部資訊如果不包含Access-Control-Allow-Headers: Content-Type則表示不接受非預設的的Content-Type。即出現以下錯誤:

Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.

參考文章:

  • 阮一峰【跨域資源共享 CORS 詳解】
  • MDN web docs【HTTP訪問控制(CORS)】

總結

以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對我們的支援。

相關推薦

Nginx配置請求Access-Control-Allow-Origin *

前言 當出現403錯誤的時候 No \'Access-Control-Allow-Origin\' header is present on the requested resource,需要給Nginx伺服器配置響應的header引數:

uniapp解決問題--Access-Control-Allow-Origin

本文由通密全棧公眾號(tongmi5g),QQ群(58621899)提供,歡迎關注獲取技術支援,有任何問題群裡都會回覆。 關於跨域這個問題,作為前端,總是難免遇到,總是要i到各個後臺請求介面,各個後臺域名又不一樣

springboot 解決請求,No 'Access-Control-Allow-Origin' header is present on the requested resource

springboot 解決請求,No \'Access-Control-Allow-Origin\' header is present on the requested resource

SpringBoot - 解決請求問題(No 'Access-Control-Allow-Origin' header is...)

  在開發前後端分離的專案時,常常會碰到跨域請求的問題。即由於瀏覽器的安全性限制,不允許AJAX訪問協議不同、域名不同、埠號不同的資料介面,否則會出報No \'Access-Control-Allow-Origin\' header is present

http頭部欄位OriginAccess-Control-Allow-Origin解決請求

Http協議中請求頭和響應頭攜帶了很多資訊,其中 請求Origin,響應頭 Access-Control-Allow-Origin有關。

SpringBootAccess-Control-Allow-Origin實現解析

這篇文章主要介紹了SpringBootAccess-Control-Allow-Origin實現解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

已解決:No 'Access-Control-Allow-Origin'問題

問題分析: 這是常見的跨域請求問題,在前後端分離的專案中常見,前端專案中的請求路徑直接用後臺請求路徑(例如:http://192.168.1.1:8080/demo/getUser.do),但根據瀏覽器的網路請求規則,後臺Server是不允許這樣直

vue 處理問題 (“No ‘Access-Control-Allow-Origin‘ header is present on the requested resource.”)

服務端 設定請求頭 允許 @Override public void doFilter(ServletRequest req, ServletResponse res,

(Access-Control-Allow-Origin)解決方案

php 在服務端程式碼裡面加 header資訊 header(\"Access-Control-Allow-Origin: *\"); //如果需要設定允許所有域名發起的請求,可以使用萬用字元 *或者header(\"Access-Control-Allow-Origin: www.xxx.xom\");

解決Access-Control-Allow-Origin問題

說明:本次的測試環境是一臺電腦,啟動兩個springboot應用,如果是其它情況,可能稍有不同,發現時在補充吧。

解決:403錯誤 和 已攔截請求:同源策略禁止讀取位於localhost:8080/xxx/xx的遠端資源。(原因:CORS 頭缺少 ‘Access-Control-Allow-Origin‘)。

問題描述:在使用vue框架進行前後端分離開發時,同時使用springboot框架,ajax傳送請求時出現上述問題解決思考:

Java中設定多個Access-Control-Allow-Origin訪問

1、如果服務端是Java開發的,新增如下設定允許即可,但是這樣做是允許所有域名都可以訪問,不夠安全。

No ‘Access-Control-Allow-Origin‘ header is present on the requested resource 錯誤

技術標籤:問題 No ‘Access-Control-Allow-Origin’ header is present on the requested resource 錯誤翻譯是找不到資源路徑 1 前端解決(不建議): 將crossDomain設定為true

Access-Control-Allow-Origin‘ heade is present on the requested 問題 解決

技術標籤:webhttpjava \'Access-Control-Allow-Origin\' heade is present on the requested 問題 解決

Ajax訪問抱錯 原因:CORS 頭缺少 ‘Access-Control-Allow-Origin

技術標籤:spring 當Ajax訪問,明明已經獲取到訪問的json資料但是瀏覽器報錯CORS 頭缺少 ‘Access-Control-Allow-Origin’ ; 解決方式一: 過濾器

使用spring-security-oauth2做前後端分離時vue axios 報錯‘No ‘Access-Control-Allow-Origin‘ header ‘ 的問題

技術標籤:vuevue 1.問題由來 以前只用spring-security做許可權認證,也遇到過問題主要是在後端的繼承WebSecurityConfigurerAdapter 的類中配置下面的bean,然後前端vue配置代理來解決。

koa2 設定Access-Control-Allow-Origin 解決前端問題

文章原文:https://www.cnblogs.com/yalong/p/14954672.html 資源共享(CORS) 看這裡:

關於出現2次 Access-Control-Allow-Origin:* 導致失敗

1.在程式碼端(Spring boot)增加以下程式碼 import org.springframework.beans.factory.annotation.Autowired;

沒錯,就是Access-Control-Allow-Origin

1、瀏覽器的同源安全策略 沒錯,就是這傢伙乾的,瀏覽器只允許請求當前的資源,而對其他的資源表示不信任。那怎麼才算呢?

Access-Control-Allow-Origin 設定多域名

在HTML5中有一種新的方式,即設定“Access-Control-Allow-Origin”可以指定允許訪問的域名。