Nginx解决跨域问题

Nginx解决跨域问题详解

⭐ Nginx解决跨域的两种方式

1️⃣ 通过反向代理实现同源请求

💡 原理: 浏览器访问前端服务器的API路径，Nginx将请求转发到实际的API服务器，浏览器认为是同源请求

2️⃣ 通过设置CORS响应头

💡 原理: Nginx为响应添加CORS相关的HTTP头，告诉浏览器允许跨域请求

🌟 Nginx跨域配置示例

方法1: 反向代理配置

server {listen 80;server_name mywebsite.com;# 前端静态资源location / {root /var/www/html;index index.html;try_files $uri $uri/ /index.html;}# API请求代理location /api/ {# 去除/api前缀rewrite ^/api/(.*)$ /$1 break;# 代理到真实API服务器proxy_pass http://api-server.com;proxy_set_header Host api-server.com;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}
}

前端代码访问同源API:

// 前端代码
fetch('/api/users')  // 实际会被代理到 http://api-server.com/users.then(res => res.json()).then(data => console.log(data));

方法2: 添加CORS响应头

server {listen 80;server_name api-server.com;location / {# 允许的来源域名add_header 'Access-Control-Allow-Origin' 'https://mywebsite.com';# 允许的请求方法add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE';# 允许的请求头add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';# 允许携带凭证(cookies)add_header 'Access-Control-Allow-Credentials' 'true';# 预检请求缓存时间add_header 'Access-Control-Max-Age' 1728000;# 处理OPTIONS预检请求if ($request_method = 'OPTIONS') {add_header 'Access-Control-Allow-Origin' 'https://mywebsite.com';add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE';add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';add_header 'Access-Control-Max-Age' 1728000;add_header 'Content-Type' 'text/plain charset=UTF-8';add_header 'Content-Length' 0;return 204;}# 实际内容处理proxy_pass http://localhost:8080;}
}

前端代码直接访问API:

// 前端代码
fetch('https://api-server.com/users', {credentials: 'include'  // 需要携带凭证时
})
.then(res => res.json())
.then(data => console.log(data));

📊 两种方法对比

特性	反向代理方式	CORS头方式
原理	通过代理使请求同源	添加HTTP头允许跨域
前端修改	无需修改	可能需要配置
适用场景	前后端分离部署	API需被多个域访问
安全性	更安全(隐藏API服务器)	需谨慎配置允许域
请求效率	多一次请求转发	直接请求
配置复杂度	相对简单	需详细配置头信息
维护便捷性	集中式管理	分散管理

💡 最佳实践技巧

动态设置允许源

# 动态设置CORS允许源
map $http_origin $cors_origin {default "";"~^https://(www\.|)mywebsite.com$" "$http_origin";"~^https://(dev\.|staging\.)mywebsite.com$" "$http_origin";
}server {# ...location /api/ {# 动态允许源add_header 'Access-Control-Allow-Origin' $cors_origin;# 其他CORS设置...# 只有当源有效时才允许凭证if ($cors_origin != "") {add_header 'Access-Control-Allow-Credentials' 'true';}# ...}
}

针对特定路径设置CORS

server {# 静态资源不需要CORSlocation /static/ {root /var/www/static;}# 只对API路径设置CORSlocation /api/ {# CORS头设置add_header 'Access-Control-Allow-Origin' 'https://mywebsite.com';# 其他CORS设置...proxy_pass http://api-backend;}
}

🎯 实际应用场景

1. 前后端分离架构

2. 微服务架构代理

📚 总结：Nginx解决跨域优势

• ⚠️ 核心优势: 在服务器端解决跨域，对前端代码无侵入性
• 🔑 两种方法: 可通过反向代理或添加CORS头解决跨域
• 💪 最佳选择: 反向代理方式对于前后端分离项目更简洁高效
• 🚀 性能考虑: 通过配置缓存和CORS预检缓存降低请求开销
• 🔐 安全建议: 精确配置允许的源域，避免过于宽松的CORS策略

Nginx是解决跨域问题的强大工具，特别适合在生产环境中使用，提供了灵活且高性能的跨域解决方案！