| 登录 注册 |
Nginx 配置 AJAX 跨域 POST 提交的解决方法主要依赖于 CORS (Cross-Origin Resource Sharing)。当浏览器发送跨域请求时,会进行预检(OPTIONS)请求,服务器需要正确响应预检请求,并告知浏览器允许跨域访问。
下面是如何在 Nginx 中配置 CORS 来解决 AJAX 跨域 POST 提交的详细步骤和解释:
核心原理:
1. 同源策略 (Same-Origin Policy): 浏览器为了安全,会限制 JavaScript 发起的跨域请求。当请求的协议、域名、端口三者有一个不同时,就被认为是跨域请求。
2. CORS (Cross-Origin Resource Sharing): 是一种 W3C 标准,允许服务器声明哪些源站(origin)可以通过浏览器访问其资源。
3. OPTIONS 预检请求: 对于一些“不安全”的 HTTP 请求(例如 POST、PUT、DELETE,或者设置了自定义请求头),浏览器会在实际发送请求之前,先发送一个 OPTIONS 请求,询问服务器是否允许该请求。
4. Access-Control-Allow-Origin: 这是 CORS 最核心的响应头,用于告知浏览器,哪些源可以访问该资源。
5. Access-Control-Allow-Methods: 告知浏览器允许的 HTTP 方法,例如 GET, POST, PUT, DELETE, OPTIONS。
6. Access-Control-Allow-Headers: 告知浏览器允许发送的自定义请求头。对于 AJAX POST 请求,通常会发送 Content-Type 和 X-Requested-With,有时还会发送 Authorization 等。
7. Access-Control-Allow-Credentials: 如果你的 AJAX 请求需要携带 Cookie 或其他身份验证信息,并且你希望服务器允许这样做,就需要设置此头。
Nginx 配置步骤:
你需要在 Nginx 的 http、server 或 location 块中添加 CORS 相关的配置。通常,为了方便管理,会放在 server 块中,或者更细致地放在 location 块中,以指定对特定 URL 的跨域配置。
1. 基本 CORS 配置 (允许所有源和常用方法):
这是最简单也是最常见的配置,允许来自任何源的 GET, POST, OPTIONS 请求。nginx
http {
# ... 其他 http 配置 ...
server {
listen 80;
server_name your_backend_domain.com; # 你的后端域名
location / { # 或者你 AJAX 请求实际访问的 location
# ... 你后端应用的 proxy_pass 或其他配置 ...
# CORS headers
add_header 'Access-Control-Allow-Origin' '*' always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;
# 对于 OPTIONS 请求,直接返回 200 OK
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' '*' always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;
add_header 'Access-Control-Max-Age' 1728000; # 预检请求的缓存时间(秒),可选
add_header 'Content-Type' 'text/plain charset=UTF-8';
add_header 'Content-Length' 0;
return 204; # 204 No Content
}
# ... 你后端应用的 proxy_pass 或其他配置 ...
# 例如:
# proxy_pass http://your_app_server_address;
# proxy_set_header Host $host;
# proxy_set_header X-Real-IP $remote_addr;
# proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# proxy_set_header X-Forwarded-Proto $scheme;
}
# ... 其他 server 配置 ...
}
# ... 其他 http 配置 ...
}
解释:
* add_header 'Access-Control-Allow-Origin' '*' always;: 允许任何源(*)访问。请注意,在生产环境中,通常建议指定具体的允许源,例如 'https://your_frontend_domain.com'.
* add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;: 允许客户端使用 GET, POST, OPTIONS 这几种 HTTP 方法。
* add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;: 允许客户端发送的请求头。Content-Type 对于 POST 请求很重要,X-Requested-With 通常是 AJAX 请求的标志。Authorization 是如果你需要进行身份验证。
* if ($request_method = 'OPTIONS') { ... }: 这是一个条件块,专门处理 OPTIONS 预检请求。
* return 204;: 对于 OPTIONS 请求,服务器不需要返回实际内容,只需响应 204 (No Content) 状态码,并附带 CORS 头,告知浏览器可以继续发送实际请求。
* add_header 'Access-Control-Max-Age' 1728000;: 这是一个可选的头,表示浏览器可以缓存这个预检请求的结果多久(这里是 20 天),在此期间无需再次发送 OPTIONS 请求。
* add_header 'Content-Type' 'text/plain charset=UTF-8';: 设置 OPTIONS 请求的 Content-Type。
* add_header 'Content-Length' 0;: 设置 OPTIONS 请求的 Content-Length。
2. 生产环境安全配置 (指定允许的源):
在生产环境中,将 Access-Control-Allow-Origin 设置为 * 是不安全的,因为它允许任何网站访问你的 API。你应该明确指定允许访问的源。nginx
server {
listen 80;
server_name your_backend_domain.com;
location / {
# ... your backend proxy configurations ...
# CORS headers for specific origin
set $allowed_origin 'https://your_frontend_domain.com'; # 明确指定前端域名
add_header 'Access-Control-Allow-Origin' $allowed_origin always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;
# Handle OPTIONS requests
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' $allowed_origin always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;
add_header 'Access-Control-Max-Age' 1728000;
add_header 'Content-Type' 'text/plain charset=UTF-8';
add_header 'Content-Length' 0;
return 204;
}
# ... proxy_pass configuration ...
}
}
3. 支持 Cookie 或认证信息 (Access-Control-Allow-Credentials):
如果你的 AJAX 请求需要携带 Cookie 或使用 HTTP Basic/Digest 认证,你需要添加 Access-Control-Allow-Credentials 头。
重要提示: 一旦你设置了 Access-Control-Allow-Credentials 为 true,那么 Access-Control-Allow-Origin 不能设置为 *,必须明确指定允许的源(例如 'https://your_frontend_domain.com')。nginx
server {
listen 80;
server_name your_backend_domain.com;
location / {
# ... your backend proxy configurations ...
set $allowed_origin 'https://your_frontend_domain.com'; # 必须明确指定
add_header 'Access-Control-Allow-Origin' $allowed_origin always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;
add_header 'Access-Control-Allow-Credentials' 'true' always; # 允许携带 Cookie 或认证信息
# Handle OPTIONS requests
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' $allowed_origin always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization' always;
add_header 'Access-Control-Allow-Credentials' 'true' always; # 同样需要设置
add_header 'Access-Control-Max-Age' 1728000;
add_header 'Content-Type' 'text/plain charset=UTF-8';
add_header 'Content-Length' 0;
return 204;
}
# ... proxy_pass configuration ...
}
}
4. 支持更多自定义 Headers:
如果你的 AJAX 请求发送了 Nginx 配置中 Access-Control-Allow-Headers 没有包含的自定义头,你需要将其添加到配置中。
例如,你的 AJAX 请求发送了 X-Custom-Header:
“`nginx
add_header ‘Access-Control-Allow-Headers’ ‘DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Accept,Authorization,X-Custom-Header’ always;
**5. Nginx 配置生效:**
1. **编辑 Nginx 配置文件:** 通常是 `/etc/nginx/nginx.conf` 或 `/etc/nginx/sites-available/your_site`。
2. **测试 Nginx 配置:** `sudo nginx -t`
3. **重新加载 Nginx:** `sudo systemctl reload nginx` (或 `sudo service nginx reload`)
**客户端 (AJAX) 配置注意事项:**
* **`Content-Type`:** 确保你的 AJAX POST 请求设置了正确的 `Content-Type`,例如 `application/json` 或 `application/x-www-form-urlencoded`。
* **`XMLHttpRequest.withCredentials`:** 如果你的 AJAX 请求需要携带 Cookie,请在 JavaScript 中设置 `xhr.withCredentials = true;`。
* **`fetch` API:** 使用 `fetch` API 时,需要将其 `credentials` 选项设置为 `include` 来发送 Cookie。
fetch(’https://your_backend_domain.com/api/data’, {
method: ‘POST’,
headers: {
‘Content-Type’: ‘application/json’,
// … other headers
},
body: JSON.stringify({ key: ‘value’ }),
credentials: ‘include’ // This is important for sending cookies
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error(‘Error:’, error));
“
**常见问题及排查:**
* **:** 确保 Nginx 的location块匹配了你的 AJAX 请求的 URL,并且proxy_pass指向了正确的后端应用。CORS Error
* **(在浏览器开发者工具控制台):**error.log
* **检查 Nginx 日志:** 查看 Nginx 的和access.log,确认请求是否到达 Nginx,以及 Nginx 是否正确响应了OPTIONS请求。OPTIONS
* **检查浏览器开发者工具的网络请求:**
* 查看请求的响应头,确认Access-Control-Allow-Origin,Access-Control-Allow-Methods,Access-Control-Allow-Headers是否正确。Access-Control-Allow-Origin
* 查看实际的 POST 请求的响应头,确认是否正确。Access-Control-Allow-Origin
* **设置问题:** 最常见的原因是 Nginx 配置中的Access-Control-Allow-Origin没有正确匹配前端的源,或者没有设置(仅用于开发)。Access-Control-Allow-Headers
* **问题:** 如果你的 AJAX 请求发送了 Nginx 配置中未包含的自定义头,就会报错。Access-Control-Allow-Credentials
* **问题:** 如果 AJAX 请求携带了 Cookie,但 Nginx 没有设置Access-Control-Allow-Credentials: true,或者Access-Control-Allow-Origin设置为,则会报错。OPTIONS
* **缓存问题:** 有时浏览器可能会缓存请求的结果。可以尝试清除浏览器缓存,或者在 Nginx 配置中减小Access-Control-Max-Age的值。Access-Control-Allow-Origin
**总结:**
解决 Nginx 配置 AJAX 跨域 POST 提交的关键在于正确配置 CORS 相关的 HTTP 响应头,尤其是、Access-Control-Allow-Methods、Access-Control-Allow-Headers,并为OPTIONS预检请求提供正确的响应。在生产环境中,务必将Access-Control-Allow-Origin设置为具体允许的源,并根据需求配置Access-Control-Allow-Credentials`。