一、概述

跨域资源共享 (CORS, Cross-Origin Resource Sharing) 是一种机制，它允许一个域名下的网页资源被来自另一个域名的网页所访问。这在现代 web 开发中非常常见，因为前端和后端通常托管在不同的服务器上。然而，默认情况下，浏览器会阻止跨域请求，导致开发者在实现前后端分离时遇到跨域问题。

本文将通过 Nginx 来解决这个问题，详细讲解步骤，适合刚接触 Nginx 和 CORS 的新手。

二、什么是 CORS？

CORS 是一种浏览器安全机制，用于决定 Web 应用是否能够跨域请求资源。通过设置特定的 HTTP 头部信息，服务器可以允许特定的域名访问资源。

三、常见的跨域场景

假设你的前端应用托管在 ，而后端 API 服务托管在 。当前端尝试从后端获取数据时，如果没有正确配置 CORS，浏览器将会阻止这个请求。

四、Nginx 如何解决 CORS 问题？

Nginx 作为一个高性能的 HTTP 和反向代理服务器，能够通过简单的配置来解决 CORS 问题。以下是一个基础的 Nginx 配置示例，用于处理简单的 CORS 请求。

五、基础配置

1. 编辑 Nginx 配置文件

   找到你的 Nginx 配置文件，一般位于 /etc/nginx/ 或 /etc/nginx//。

2. 添加 CORS 配置

   在服务器块中添加以下配置：

   server {
       listen 80;
       server_name ;
   
       location / {
           add_header 'Access-Control-Allow-Origin' '*';
           add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
           add_header 'Access-Control-Allow-Headers' 'Origin, Authorization, Content-Type, Accept, X-Requested-With';
   
           # 如果请求方法为 OPTIONS，则直接返回 204 状态码
           if ($request_method = 'OPTIONS') {
               add_header 'Access-Control-Allow-Origin' '*';
               add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
               add_header 'Access-Control-Allow-Headers' 'Origin, Authorization, Content-Type, Accept, X-Requested-With';
               return 204;
           }
   
           proxy_pass http://backend_server;
       }
   }
   

   这里，我们做了几件事：

   • Access-Control-Allow-Origin：允许来自任何源的请求。你可以将 * 替换为特定的域名以限制请求来源。
   • Access-Control-Allow-Methods：指定允许的 HTTP 方法。
   • Access-Control-Allow-Headers：指定请求中可以使用的自定义头部字段。
   • OPTIONS 请求处理：浏览器在发送某些请求时，会先发送一个预检请求 (OPTIONS)，我们在这里直接返回 204 状态码，不做任何处理。

3. 重新加载 Nginx

   配置完成后，保存文件并重新加载 Nginx 配置：

   sudo nginx -s reload
   

六、 图解流程

以下是 Nginx 处理 CORS 请求的流程图：

   +-------------------+        +---------------------+
   | Browser (Frontend)|        | Nginx Server        |
   +-------------------+        +---------------------+
            |                          |
            |    1. Request API        |
            |------------------------->|
            |                          |
            |   2. Check CORS Headers  |
            |<-------------------------|
            |                          |
            |   3. Response with Data  |
            |<-------------------------|
            |                          |
   +-------------------+        +---------------------+

七、进一步优化

对于复杂的跨域请求，可能需要更复杂的配置。例如，如果你只想允许特定的域名访问 API，你可以将 Access-Control-Allow-Origin 的值设置为指定的域名。

add_header 'Access-Control-Allow-Origin' '';

八、总结

通过以上配置，你已经可以用 Nginx 轻松处理 CORS 问题。这是处理前后端分离项目中的常见需求。通过理解 CORS 和 Nginx 的配置，能够让你更好地应对实际开发中的挑战。

九、常见问题

Q: 为什么我的配置不生效？

A: 请检查 Nginx 是否正确加载了配置文件，并且没有拼写错误。你可以通过命令 nginx -t 来测试配置文件的语法。

Q: 我可以允许多个域名吗？

A: 可以，但需要动态设置 Access-Control-Allow-Origin 头部，这通常需要在后端代码中处理。

希望这篇文章对你有所帮助，如果有任何问题，欢迎留言讨论！