跨域原因及SpringBoot、Nginx跨域配置

目录
概述
简单请求
跨域解决方案
概述
SpringBoot跨域配置
Nginx跨域配置

概述

MDN文档 Cross-Origin Resource Sharing (CORS)

跨域的英文是Cross-Origin Resource Sharing (CORS)，直译过来就是：跨越了来源的源资共享。当浏览器上的页面资源（http://www.a.com/xxx.html）试图访问其他域（http://www.b.com/xxx.html）时，浏览器会检查两个url的协议、域名、端口。其中任意一项不一致，都有可能产生跨域。

如上面例子中，http://www.a.com/xxx.html 和 http://www.b.com/xxx.html 的域名不同，就有可能会触发跨域。

简单请求

为什么说有可能会触发，这是因为简单请求不会触发跨域。简单请求是同时满足以下条件的请求：

Some requests don't trigger a CORS preflight. Those are called simple requests, though the Fetch spec (which defines CORS) doesn't use that term. A simple request is one that meets all the following conditions:

One of the allowed methods:

GET
HEAD
POST

Apart from the headers automatically set by the user agent (for example, Connection, User-Agent

, or the other headers defined in the Fetch spec as a forbidden header name), the only headers which are allowed to be manually set are those which the Fetch spec defines as a CORS-safelisted request-header, which are:

Accept
Accept-Language
Content-Language
Content-Type (but note the additional requirements below)

The only allowed values for the Content-Type header are:

application/x-www-form-urlencoded
multipart/form-data
text/plain

If the request is made using an XMLHttpRequest object, no event listeners are registered on the object returned by the XMLHttpRequest.upload property used in the request; that is, given an XMLHttpRequest instance xhr, no code has called xhr.upload.addEventListener() to add an event listener to monitor the upload.

No ReadableStream object is used in the request.

注意，不同浏览器对简单请求的判断条件会有细微不一致（不过这对后端开发人员来说，并不重要了）。

跨域解决方案

概述

在前后端分离的情景下，跨域是很常见的情景。前端部署在一台服务器（10.3.12.31）上，后端部署在另一台服务器（10.3.12.32）上，当用户在浏览器中获取并打开前端服务器的网页资源后，若用户通过网页发任意请求到后端服务器，浏览器会检测到网页资源的域和请求资源的域不同，就有可能触发跨域。

此时，浏览器若判定当前情景跨域，则会先发送一个预检请求（preflight）给后端服务器，该请求的类型为OPTION。预检请求会告诉后端服务器真实请求的各种信息，来让后端服务器判断是否让这个真实请求获取资源。

预检请求示例：

预检请求响应示例：

真实请求示例：

在本示例中，后端服务器允许了预检请求中的各种条件，所以真实请求能够顺利地发送给后端服务器并得到响应。更详细的跨域请求Headers、响应Headers参考见MDN文档 Cross-Origin Resource Sharing (CORS).

整体流程如下：

所以解决跨域问题的关键核心在于，在接收浏览器发过来请求的服务器上，加入跨域配置。

如果接收浏览器请求的是后台程序，则参考SpringBoot跨域配置
如果接收浏览器请求的是nginx，则参考Nginx跨域配置

跨域问题的核心就是一定要通过预检请求，然后和response的header加入Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Credentials、Access-Control-Allow-Headers，告诉浏览器你这个服务器支持哪些跨域的请求。

记一个小坑：之前前端请求一直报跨域问题，但是我加入了跨域配置的，后面发现是因为我的Access-Control-Allow-Headers里配置的header key不全，所以请求被拦截了。

SpringBoot跨域配置

@Configuration

public class CorsConfig {

    @Bean

    public CorsWebFilter corsWebFilter() {

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

        CorsConfiguration corsConfiguration = new CorsConfiguration();

        corsConfiguration.addAllowedHeader("*");

        corsConfiguration.addAllowedMethod("*");

        corsConfiguration.addAllowedOrigin("*");

        corsConfiguration.setAllowCredentials(true);

        source.registerCorsConfiguration("/**",corsConfiguration);

        return new CorsWebFilter(source);

    }

}

Nginx跨域配置

若前端并不是将请求直接发送给后端，而是先发送给Nginx服务器，然后再由Nginx将请求转发给后端，则应该给Nginx增加跨域配置。

nginx是一个七层的负载均衡器，所以它能够得到7层（http层）的具体内容，所以给它的response加入Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Credentials、Access-Control-Allow-Headers的配置就好了。

LVS是四层，所以它只能拿到、修改一些IP信息。

转自：我也说说Nginx解决前端跨域问题，正确的Nginx跨域配置（后端Nginx CORS跨域配置、CORS设置，后端允许跨域请求）

location /aoda-web {

	add_header 'Access-Control-Allow-Origin' $http_origin;

	add_header 'Access-Control-Allow-Credentials' 'true';

	add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

	add_header 'Access-Control-Allow-Headers' 'DNT,web-token,app-token,Authorization,Accept,Origin,Keep-Alive,User-Agent,X-Mx-ReqToken,X-Data-Type,X-Auth-Token,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';

	add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';

	if ($request_method = 'OPTIONS') {

		add_header 'Access-Control-Max-Age' 1728000;

		add_header 'Content-Type' 'text/plain; charset=utf-8';

		add_header 'Content-Length' 0;

		return 204;

	}

	root   html;

	index  index.html index.htm;

	proxy_pass http://127.0.0.1:8080;

	proxy_set_header Host $host;

	proxy_set_header X-Real-IP $remote_addr;

	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

	proxy_set_header X-Forwarded-Proto $scheme;

	proxy_connect_timeout 5;

}

跨域相关的配置，主要是下面这部分：

add_header 'Access-Control-Allow-Origin' $http_origin;

add_header 'Access-Control-Allow-Credentials' 'true';

add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

add_header 'Access-Control-Allow-Headers' 'DNT,web-token,app-token,Authorization,Accept,Origin,Keep-Alive,User-Agent,X-Mx-ReqToken,X-Data-Type,X-Auth-Token,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';

add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';

if ($request_method = 'OPTIONS') {

	add_header 'Access-Control-Max-Age' 1728000;

	add_header 'Content-Type' 'text/plain; charset=utf-8';

	add_header 'Content-Length' 0;

	return 204;

}

1、Access-Control-Allow-Origin，这里使用变量 $http_origin取得当前来源域，大家说用“*”代表允许所有，我实际使用并不成功，原因未知；

2、Access-Control-Allow-Credentials，为 true 的时候指请求时可带上Cookie，自己按情况配置吧；

3、Access-Control-Allow-Methods，OPTIONS一定要有的，另外一般也就GET和POST，如果你有其它的也可加进去；

4、Access-Control-Allow-Headers，这个要注意，里面一定要包含自定义的http头字段（就是说前端请求接口时，如果在http头里加了自定义的字段，这里配置一定要写上相应的字段），从上面可看到我写的比较长，我在网上搜索一些常用的写进去了，里面有“web-token”和“app-token”，这个是我项目里前端请求时设置的，所以我在这里要写上；

5、Access-Control-Expose-Headers，可不设置，看网上大致意思是默认只能获返回头的6个基本字段，要获取其它额外的，先在这设置才能获取它；

6、语句“ if ($request_method = 'OPTIONS') { ”，因为浏览器判断是否允许跨域时会先往后端发一个 options 请求，然后根据返回的结果判断是否允许跨域请求，所以这里单独判断这个请求，然后直接返回。

跨域原因及SpringBoot、Nginx跨域配置的相关教程结束。