2.1.5Nginx跨域访问:add_header
文章目录
- Nginx跨域访问
- 跨域访问
- Nginx跨域操作:添加头:add_header
- 测试
- 准备
- 开始测试
Nginx跨域访问
跨域访问
浏览器同时访问www.a.com和www.b.com,从安全角度讲是禁止这样的。
为什么浏览器禁止跨域访问
- 不安全,容易出现CSRF攻击!
CSRF攻击就是跨站是攻击。
当客户访问网站A的时候,网站A返回给客户cookie,token等信息;当客户访问黑客控制的网站B的时候,网站B返回的不安全信息,会控制客户的浏览器访问网站A,并发送恶意请求,就形成跨站访问。
所以,一般情况下,浏览器会默认组织跨站访问。
Nginx跨域操作:添加头:add_header
虽然浏览器禁止跨站访问,但是出于企业实际情况,后者设计/业务需要,往往需要打开跨站访问的限制。
怎么打开:
虽然这个是有浏览器控制的,但是浏览器它控制的时候会判断服务器端返回的头
Access-Control-Allow-Origin,若是服务器设置不需要限制,浏览器就不会限制了。
Nginx使用add_header,设置头信息;
语法:
Syntax:add_header name value [always]; # name 是头信息字段;value是对应的值,此处是跨站访问,那么就是跨站访问的站点;always
Default:-
Context:http,server,location,if in location
测试
准备
添加文件/usr/share/nginx/html/code/test_oringin.html
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>测试ajax和跨域访问title>
<script src="http://libs.baidu.com/jquery/2.1.4/jquery.min.js">script>
head>
<script type="text/javascript">
$(document).ready(function(){$.ajax({ //进入这个页面的时候,发起请求,访问另一个域名type: "GET",url: "http://jeson.imoocc.com/1.html",success: function(data) {alert("sucess!!!");},error: function() {alert("fail!!!,请刷新再试!");}});
});
script>
<body><h1>测试跨域访问h1>
body>
html>
配置域名
上面的jeson.imoocc.com域名需要我们自己加上
cd /etc/nginx/conf.d #进入nginx的配置文件夹
#配置.conf文件#跨域访问
#跨域访问
server {listen 80;server_name 116.62.103.228 jeson.imoocc.com www.jesonc.com;sendfile on;#charset koi8-r;access_log /var/log/nginx/static_access.log main;location ~ .*\.(jpg|gif|png)$ {gzip on;gzip_http_version 1.1;gzip_comp_level 2;gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;root /usr/share/nginx/html/code/images;}location ~ .*\.(txt|xml)$ {gzip on;gzip_http_version 1.1;gzip_comp_level 1;gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;root /usr/share/nginx/html/code/doc;}location ~ .*\.(htm|html)$ {# add_header Access-Control-Allow-Origin *; #添加跨域访问# add_header Access-Control-Allow-Origin http://www.jesonc.com; #添加跨域访问# add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS; #跨域访问的方法#expires 24h;root /usr/share/nginx/html/code;}location ~ ^/download {gzip_static on;tcp_nopush on;root /usr/share/nginx/html/code;}error_page 500 502 503 504 404 /50x.html;location = /50x.html {root /usr/share/nginx/html;}
}
配置host
将 jesonc.com设置上服务器地址
将 jeson.com设置上服务器地址
192.168.179.128 www.jesonc.com
192.168.179.128 www.jeson.com
192.168.179.128 jeson.imoocc.com
取消缓存功能
开始测试
浏览器访问: http://www.jesonc.com/test_oringin.html
此时控制台提示错误
他无法去加载这个页面,因为这个头信息默认是不允许的
把这个头信息在服务端进行设置
location ~ .*\.(htm|html)$ {# add_header Access-Control-Allow-Origin *; #添加跨域访问add_header Access-Control-Allow-Origin http://www.jesonc.com; #添加跨域访问add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS; #跨域访问的方法#expires 24h;root /usr/share/nginx/html/code;}
允许这个域名跨域访问,其他的还是拒绝的
http://www.jesonc.com/ 访问 http://jeson.imoocc.com 跨域,但是nginx的
Access-Control-Allow-Origin添加了 http://www.jesonc.com 之后,http://www.jesonc.com就允许跨域了.
很多时候,Access-Control-Allow-Origin是直接配置了* ,这个是允许nginx的这个配置的所有的请求的页面都允许跨域,这样的话容易被黑客攻击。建议只打开需要的网站。
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!