CORS(跨域资源共享)源验证失败解决方法

在web系统中,安全软件扫描经常会发现CORS(跨域资源共享)作为高危漏洞出现。本文提供用Nginx作为反向代理的解决方案。解决方式是在nginx.conf文件中做如下配置:

  set $cors "";
 if ($http_origin ~* "^http?://.*\.xxxx\.com$") {
      set $cors $http_origin;
 }
 more_set_headers 'Access-Control-Allow-Origin: $cors';
 more_set_headers 'Access-Control-Allow-Credentials: true';
 more_set_headers 'Access-Control-Allow-Methods: GET,POST,OPTIONS';
 more_set_headers 'Access-Control-Allow-Headers: token,Authorization,DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
 more_set_headers 'Access-Control-Max-Age: 86400';

注意:

1、“xxxx.com"是示例域名,按你实际用到的更改。如果有多个外部域名,则逐一按if方式处理。不建议用”*“来代替所有。

2、配置位置1:在http中所有server之前,但可能不生效。不生效则用配置位置2方式。

3、配置位置2:放在server中的location部分之前。如果很多server,可单独放在一个文件中(如nginx.cors.item),在配置位置用下面语句引入:

#跨域配置
include /usr/local/nginx/conf/nginx.cors.item;

4、在location不要配置add_header,否则本处配置不生效。

你可能感兴趣的:(经验谈,服务器,前端,运维)