一、概述

跨域資源共享 (CORS, Cross-Origin Resource Sharing) 是一種機(jī)制，它允許一個域名下的網(wǎng)頁資源被來自另一個域名的網(wǎng)頁所訪問。

這在現(xiàn)代 web 開發(fā)中非常常見，因為前端和后端通常托管在不同的服務(wù)器上。然而，默認(rèn)情況下，瀏覽器會阻止跨域請求，導(dǎo)致開發(fā)者在實現(xiàn)前后端分離時遇到跨域問題。

本文將通過 Nginx 來解決這個問題，詳細(xì)講解步驟，適合剛接觸 Nginx 和 CORS 的新手。

二、什么是 CORS？

CORS 是一種瀏覽器安全機(jī)制，用于決定 Web 應(yīng)用是否能夠跨域請求資源。

通過設(shè)置特定的 HTTP 頭部信息，服務(wù)器可以允許特定的域名訪問資源。

三、常見的跨域場景

假設(shè)你的前端應(yīng)用托管在 https://frontend.example.com，而后端 API 服務(wù)托管在 https://api.example.com。

當(dāng)前端嘗試從后端獲取數(shù)據(jù)時，如果沒有正確配置 CORS，瀏覽器將會阻止這個請求。

四、Nginx 如何解決 CORS 問題？

Nginx 作為一個高性能的 HTTP 和反向代理服務(wù)器，能夠通過簡單的配置來解決 CORS 問題。

以下是一個基礎(chǔ)的 Nginx 配置示例，用于處理簡單的 CORS 請求。

五、基礎(chǔ)配置

1.編輯 Nginx 配置文件

找到你的 Nginx 配置文件，一般位于 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/your-site.conf。

2.添加 CORS 配置

在服務(wù)器塊中添加以下配置：

server {
    listen 80;
    server_name api.example.com;

    location / {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'Origin, Authorization, Content-Type, Accept, X-Requested-With';

        # 如果請求方法為 OPTIONS，則直接返回 204 狀態(tài)碼
        if ($request_method = 'OPTIONS') {
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            add_header 'Access-Control-Allow-Headers' 'Origin, Authorization, Content-Type, Accept, X-Requested-With';
            return 204;
        }

        proxy_pass http://backend_server;
    }
}

這里，我們做了幾件事：

• Access-Control-Allow-Origin：允許來自任何源的請求。你可以將 * 替換為特定的域名以限制請求來源。
• Access-Control-Allow-Methods：指定允許的 HTTP 方法。
• Access-Control-Allow-Headers：指定請求中可以使用的自定義頭部字段。
• OPTIONS 請求處理：瀏覽器在發(fā)送某些請求時，會先發(fā)送一個預(yù)檢請求 (OPTIONS)，我們在這里直接返回 204 狀態(tài)碼，不做任何處理。

3.重新加載 Nginx

配置完成后，保存文件并重新加載 Nginx 配置：

sudo nginx -s reload

六、 圖解流程

以下是 Nginx 處理 CORS 請求的流程圖：

   +-------------------+        +---------------------+
   | Browser (Frontend)|        | Nginx Server        |
   +-------------------+        +---------------------+
            |                          |
            |    1. Request API        |
            |------------------------->|
            |                          |
            |   2. Check CORS Headers  |
            |<-------------------------|
            |                          |
            |   3. Response with Data  |
            |<-------------------------|
            |                          |
   +-------------------+        +---------------------+

七、進(jìn)一步優(yōu)化

對于復(fù)雜的跨域請求，可能需要更復(fù)雜的配置。

例如，如果你只想允許特定的域名訪問 API，你可以將 Access-Control-Allow-Origin 的值設(shè)置為指定的域名。

add_header 'Access-Control-Allow-Origin' 'https://frontend.example.com';

八、總結(jié)

通過以上配置，你已經(jīng)可以用 Nginx 輕松處理 CORS 問題。

這是處理前后端分離項目中的常見需求。

通過理解 CORS 和 Nginx 的配置，能夠讓你更好地應(yīng)對實際開發(fā)中的挑戰(zhàn)。

九、常見問題

Q: 為什么我的配置不生效？

A: 請檢查 Nginx 是否正確加載了配置文件，并且沒有拼寫錯誤。你可以通過命令 nginx -t 來測試配置文件的語法。

Q: 我可以允許多個域名嗎？

A: 可以，但需要動態(tài)設(shè)置 Access-Control-Allow-Origin 頭部，這通常需要在后端代碼中處理。

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。