nginx跨域配置
首先,贴上nginx work的配置
server{
listen 8099;
server_name wdm.test.cn;
location / {
// 没有配置OPTIONS的话,浏览器如果是自动识别协议(http or https),那么浏览器的自动OPTIONS请求会返回不能跨域
if ($request_method = OPTIONS ) {
add_header Access-Control-Allow-Origin "$http_origin";
add_header Access-Control-Allow-Methods "POST, GET, PUT, OPTIONS, DELETE";
add_header Access-Control-Max-Age "3600";
add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept, Authorization";
add_header Access-Control-Allow-Credentials "true";
add_header Content-Length 0;
add_header Content-Type text/plain;
return 200;
}
add_header 'Access-Control-Allow-Origin' '$http_origin';
add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET, PUT, POST, DELETE, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Content-Type,*';
proxy_pass http://127.0.0.1:8080;
}
}
其次,既然碰到了就想理解下为什么需要这样,一开始脑袋还真钻进去了。
以下引自知乎:
- DOM同源策略:禁止对不同源页面DOM进行操作
- XmlHttpRequest同源策略:禁止向不同源的地址发起HTTP请求
我们发起的每一次HTTP请求都会全额发送request地址对应的cookie,那么
- 用户登录了自己的银行页面http://MyBank.com,http://MyBank.com向用户的cookie中添加用户标识
- 用户浏览了恶意页面 http://Evil.com。执行了页面中的恶意AJAX请求代码
- http://Evil.com向http://MyBank.com发起AJAX HTTP请求,请求同时http://MyBank.com对应cookie也同时发送过去
- 银行页面从发送的cookie中提取用户标识,验证用户标识无误,response中返回请求数据。此时数据泄露。
- 由于Ajax的后台执行,此时用户没有意识这一过程。
简单的说,你把Cookie托付给浏览器保存,浏览器要保证你的Cookie不被恶意网站利用。
同源策略并不能防止DDos,因为跨域的Ajax也会被请求,如果http://Evil.com用Ajax请求http://MyBank.com,浏览器会先发出
请求,并且带上http://MyBank.com的Cookie。拿到http://MyBank.com的响应之后(可能有敏感数据),浏览器才会根据Header
里的Access-Control-Allow-Origin决定是否把结果交给http://Evil.com里的脚本。(或者先发一个OPTIONS请求看一下CORS设
置,再决定是否要发真正的请求。)
因此浏览器只是起到了最基本的防御,在写程序的时候还是要注意防御CSRF,比如关键操作不要用GET,POST请求要做额外的验证(以上知乎内容转自:https://www.zhihu.com/question/20138568/answer/52659925