浏览器的同源限制解决办法:跨域和nginx代理

原创 已于 2026-03-03 14:18:56 修改 · 332 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#nginx #运维
于 2026-03-02 21:19:42 首次发布

跨域访问示例与解决方案

示例场景

  • 前端服务器域名:https://front.example.com
  • 后端服务器域名:https://api.backend.com
  • 浏览器访问前端页面时,前端代码通过AJAX请求后端接口,触发跨域问题(因域名不同)。

通俗来讲,同源就是指浏览器只支持前端页面的源请求目标的源(后端源)一致(协议、域名、端口都得相同)的访问,如果浏览器通过前端页面去访问和前端不在一个域名的其他服务器,会被认为是恶意行为被阻止。

方法1:同源化,前端服务器设置nginx反向代理

如果前端文件里的fetch都没用后端的绝对地址fetch(https://api.backend.com:443/api1),而是用比如fetch(/api1),那么应该在前端服务器上设置的nginx配置里不仅写上前端静态文件的位置,还要写上/api1的反向代理位置https://api.backend.com,由nginx去完成代理。这时对浏览器来说前端文件和api1请求都是对nginx代理留出的接口https://front.example.com:443,不存在跨域问题。这是标准的解决办法。

注意:这时用户浏览器去请求后端/api1,实际上是用户浏览器先请求前端的https://front.example.com:443/api1,然后前端的nginx代理再去请求后端https://api.backend.com:443/api1并转回给用户浏览器。这要求前端服务器必须能连接上后端服务器。这种方案不是用户浏览器直接请求后端服务器。

方法2:CORS(后端配置允许跨域)

如果前端文件的fetch写死了后端地址fetch(https://api.backend.com:443/api1),那么用户浏览器是直接请求后端服务器,没有经过前端服务器代理。

举个例子,比如前端服务器只是提供一个静态网站,告诉你后端服务器的位置,要用户浏览器自己直接去下载后端服务器上的内容(比如github的raw文件就是这样的),此时前端服务器不参与后端的代理,全凭用户浏览器自己直接去下载后端内容。

但由于前端页面的静态文件是在前端服务器上,用户浏览器向后端服务器发送请求时带上了Origin: https://front.example.com:443的前端地址的header。此时浏览器发现请求地址是后端服务器https://api.backend.com:443,但是前端页面的源是https://front.example.com:443,为了安全浏览器会阻止这个跨域请求(只有浏览器有这个限制,自己手动curl是不会的)。

为了解决这个问题,后端服务器需在响应头中明确允许前端域名访问

Access-Control-Allow-Origin: https://front.example.com  
Access-Control-Allow-Methods: GET, POST, OPTIONS  
Access-Control-Allow-Headers: Content-Type

如果后端服务器是用了nginx暴露域名端口,那上面这个CORS配置加在nginx的配置里;如果后端是fastapi server直接用uvicorn直接暴露0.0.0.0(不建议,而且没http),则是在fastapi server的main.py里面加api.add_middleware(CORSMiddleware,allow_origins=xxxx)

关键点

  • 浏览器会自动在跨域请求的Origin头中携带前端域名(如Origin: https://front.example.com)。
  • 后端需动态或静态配置允许的域名,匹配后才返回正确响应。

缺点:

  • 后端服务器需要明确知道前端服务器的域名,否则只能设置为所有域名都allow(也就是设置为*,比如github的raw文件服务器就是这样的,他不可能预先知道所有要下载他文件的用户浏览器的IP和端口,所以只能设置为*),但这样直接暴露到公网是非常危险的,设计cookie、token等的不要用这种方法,只用来托管一些静态公共文件的后端服务器的api。
  • 后端仍然需要其他方法实现https(一般后端是写http的,再加nginx或者caddy代理实现https,不过不是本文讨论的范畴)

前后端同一服务器的情况

将前端和后端部署在同一服务器,配置nginx有两个作用:

  1. 托管前端网页静态文件,访问nginx暴露的端口地址会默认跳转访问前端页面资源位置。
  2. 后端api代理,将前端里对/api的请求转发到实际的后端地址。此时由于后端也在这台机器上,可以用127.0.0.1:8000(后端位置)。或者后端如果在另一台机器的话可以填那台机器上后端服务器的地址,但是必须得连的上。由于浏览器访问的前端页面的源和请求目标都给到了nginx的地址,所以浏览器看来是同源的,不存在跨域问题。

通过Nginx统一暴露端口(如443),并代理转发请求:

server {
    listen 443 ssl;
    server_name proxy.example.com;

    # 前端静态资源
    location / {
        root /var/www/frontend;
        index index.html;
    }

    # 后端API代理(后端只用在本机http://127.0.0.1:8000开放服务
    location /api/ {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $host;
    }
}

效果

  • 浏览器访问https://proxy.example.com(前端)和https://proxy.example.com/api/xxx(后端)为同源。
  • Nginx隐藏后端真实地址,实际转发请求到http://127.0.0.1:8000
  • 后端只是http,但由于nginx暴露的域名是https的,所以外界仍然是https访问,不需要对后端做https处理。

对比

  • CORS:需后端配合,适合前后端独立维护的场景。
  • Nginx代理:无跨域问题,适合全栈可控的部署架构。(除了nginx,caddy也行,而且配置https证书更简单)
nginx代理解决问题
呼啦啦啦啦啦的博客
03-27 1万+
(Cross-Origin)是指在 Web 开发中,一个网页的运行脚本试图访问另一个网页的资源时,这两个网页的名、协议或端口号任何一个不同,就被称为是由浏览器同源策略(Same-Origin Policy)所限制的。同源策略是一种安全机制,它防止一个网页的脚本去读取另一个不同名的网页内容。同源策略要求两个网页的协议、主机端口号必须完全相同,否则就会出现问题。简单来说,同源策略要求不同名的网页之间不能相互访问对方的资源。
同源策略影响,使用nginx反向代理处理前后端问题
健康平安的活着的专栏
02-04 4894
一.什么是同源策略 1.1 同源策略的概念 浏览器为了安全,制定了一套严格的访问机制,这种限制约束被业界称为同源策略。 同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略会阻止一个的javascript脚本另外一个的内容进行交互。 所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(h
浏览器及解决方法
snow的博客
05-03 2万+
出于浏览器限制同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能不能使用。可以说Web是构建在同源策略基础之上的,。同源策略会阻止一个的javascript脚本另外一个的内容进行交互。所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(host)端口号(port)1、无法读取非同源网页的 Cookie、LocalStorage IndexedDB2、无法接触非同源网页的 DOM。
浏览器
qq_36659384的博客
03-18 2577
一直对浏览器一知半解,在查阅大量资料后写了本篇文章,帮助理解浏览器
浏览器限制:为什么浏览器不能发送Ajax请求?
努力是为了站在万人之中,成为别人的光
06-21 4486
在前端开发中,我们经常会遇到浏览器限制的问题,尤其是在发送Ajax请求时。本文将解释什么是请求,并探讨浏览器限制请求的原因以及可行的解决方案。请求指的是浏览器在一个名下发起的Ajax请求访问另一个名下的资源。在请求中,名、协议或端口至少有一个不同。例如,从的页面发送Ajax请求访问的数据就是一个请求。浏览器限制是为了保护用户数据安全防止恶意行为。同源策略限制浏览器请求能力。
浏览器问题,是什么,怎么解决,会遇到什么坑
weixin_44902498的博客
03-23 2082
例如:a页面想获取b页面资源,如果a、b页面的协议、名、端口、子名不同,所进行的访问行动都是的,而浏览器为了安全问题一般都限制访问,也就是不允许请求资源。用nginx作为代理服务器用户交互,这样用户就只需要在80端口上进行交互就可以了,这样就避免了问题,因为我们都是在80端口上进行交互的;(真正干活的服务器):是指浏览器在发起请求时,会检查该请求所对应的协议,名,端口当前网页是否一致,如果不一致,则。(同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生
计算机网络—&解决方法
警警的博客
03-25 1031
问题8的回答需明确浏览器拒绝,引用网页1、7、16等。根据搜索结果中的多个网页,限制主要是浏览器同源策略引起的,如网页1、2、3、4、5、7、16都提到同源策略是为了安全考虑,防止恶意网站窃取数据。根据网页1、6、8、9、11、12、13,JSONP利用了script标签的特性,动态创建标签,服务器返回回调函数包裹的数据。好的,我现在要处理用户提出的四个问题,分别是关于限制的原因及解决方法、JSONP的使用、请求拒绝的主体,以及HTTP OPTIONS方法的作用。
搞定问题:使用Nginx解决访问的完整实例
热门推荐
理论都是虚的,代码才是王道。
01-10 2万+
Nginx是一个高性能的Web服务器反向代理服务器,常用于构建可扩展的、低延迟的Web应用。它具有轻量级、高并发的特点,可以通过配置实现各种复杂的功能。其中,解决问题也是Nginx的一项功能。访问指的是在浏览器发送请求时,请求的目标URL与当前页面的名不一致,即不满足同源策略。同源策略是浏览器中的一种安全机制,用于阻止恶意代码窃取数据或者执行一些危险操作。访问会受到同源策略的限制,但是在实际开发中,我们经常需要访问其他名的资源。
前端三种解决方式(CORS、JSONP、代理
卡卡西:一个擅长拷贝的前端程序员
05-12 2万+
什么是浏览器为了安全而作出的限制策略(所以服务端不涉及到); 浏览器请求必须遵循同源策略,即同名、同端口、同协议; 例如: http://www.abc.com到http://www.def.com的请求会出现名不同) http://www.abc.com:3000到http://www.abc.com:3001的请求会出现(端口不同) http://www.abc.com到https://www.abc.com的请求会出现(协议不同) 解决方法: 1. ..
浏览器问题及其解决方案详解
qq_37884031的博客
05-28 1913
问题是浏览器同源策略导致的资源访问限制,常见于前后端分离开发中。主要解决方案包括:1)CORS(主流方案),通过服务端设置HTTP头实现;2)JSONP(仅限GET请求);3)代理服务器(开发常用);4)WebSocket等特殊协议。其中CORS需要处理预检请求凭证携带等特殊情况,生产环境建议避免使用通配符*,而应指定具体名。开发时可结合代理方案,最终部署推荐同源或反向代理方式。选择方案时应兼顾功能需求与安全性。
浏览器问题的原因分析及常见解决方案
七公子77的技术博客
02-24 2144
协议(http/https)、名(example.com)、端口(:8080)三者完全一致。
浏览器访问限制
y果子
07-29 7602
一.什么是 广义的: (1) 资源跳转:A链接、重定向、表单提交 (2) 资源嵌入:<link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@font-face()等文件外链 (3) 脚本请求:js发起的ajax请求、domjs对象的操作等 其实我们通常所说的是狭义的,是由浏览器同源策略限制的一类请求场景。 二.什么是浏览器限制?本质是什么? 所谓浏览器限制,其实是为了数据安
问题浏览器同源策略限制
最新发布
青春不流名
11-25 591
的核心是浏览器同源策略限制—— 当一个请求的协议、名、端口三者中任意一个与当前页面的源不同时,该请求就被视为 “请求”。本质:浏览器同源策略限制,客户端发起请求,浏览器拦截响应。核心解决方案:Spring Boot 全局 CORS 配置(快速落地)、Nginx/Spring Cloud Gateway 反向代理(微服务架构推荐)。生产环境注意:避免,指定具体名;开启 Cookie 时需配置;优先在网关层统一处理
什么是浏览器为何禁止越请求?如何解决浏览器越问题
m0_37217612的博客
08-11 4451
1、什么是越是产生于浏览器的"同源策略",所谓同源策略是指: 1)协议:http、https 2)名:www.baidu.com、uland.taobao.com … 3)端口:80,8080… 上面四点均一样的情况下,才允许访问相同的cookie、localStorage 发送Ajax 请求。如果上面其中一点不同都会出现越问题。 2、浏览器为何禁止越请求? 1)如果可以请求的话,很多的服务器都会受到额外的攻击; 2)黑客可以在别人的网站代码里面去恶意的攻击其他公司的服务器; 3)因
问题及常用的5种解决方案
zhzjn的博客
10-17 2825
问题通常指的是在浏览器中由于同源策略的限制而产生的问题。同源策略(Same-origin policy)是浏览器的一种安全措施,它要求请求的名、协议端口必须与提供资源的网站相同。当一个网页尝试访问另一个来源(即不同名、协议或端口)的数据时,那么后端返回给浏览器的数据被浏览器拦截下来,这就是
Chrome启动参数常用参数
阿酷tony
05-14 1401
Chrome启动参数常用参数
浏览器限制概述
weixin_30518397的博客
09-02 230
一.什么是浏览器限制?本质是什么? 所谓浏览器限制,其实是为了数据安全的考虑由Netscape提出来限制浏览器访问数据的策略。 这是一种约定,正式叫法为“浏览器同源策略”,目前已经在大多数浏览器中支持。 本质上,所谓浏览器同源策略,即:不允许浏览器访问的Cookie,ajax请求接口等。 也就是说,凡是访问与自己不在相同的数据或接口时,浏览器都是不允许的。 最常见的例子:对于...
彻底搞懂前端&解决方案
javaScript1997的博客
07-31 1416
源A』的脚本不能访问『源B』的 DOM。console.log(framePage.contentWindow.document) //同源的可以获取,非同源的无法获取CORS 全称:Cross-Origin Resource Sharing(资源共享),是用于控制浏览器校验请求的一套规范,服务器依照 CORS 规范,添加特定响应头来控制浏览器校验,大致规则如下:(1)服务器明确表示拒绝请求,或没有表示,则浏览器校验不通过。
什么是,如何解决问题
weixin_55862073的博客
05-07 5722
问题产生的根本原因是浏览器同源策略(Same-Origin Policy)。同源策略是浏览器实现的一种安全协议,它限制了一个源的文档或脚本如何与另一个源的资源进行交互。如果没有同源策略,恶意网页可能会读取另一个网页的敏感信息,如用户输入的密码、银行账号等,从而进行非法操作。
解决问题
lzhlzhlzh_lzh的博客
10-22 1302
浏览器同源策略的限制同源策略是浏览器为确保资源安全,而遵循的一种策略,该策略对访问资源进行了一些限制(如发送 ajax 请求,操作 dom,读取 cookie)。最常见的影响就是发送 ajax 请求,本文着重讲这部分。我们将称为,将称为。,所处源目标源的协议、名、端口都相同才是同源,否则就是非同源,即。注意:1.限制仅存在浏览器端,服务端不存在限制。2.即使了,网络请求也可以正常发出,但响应数据不会交给开发者。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值