老程序员博客

编程生涯的最后一舞

当前位置:首页 > 技术 > 正文内容

跨域资源共享配置指南

访客 技术 2026年6月12日 1 

// 设置允许访问的域名
Access-Control-Allow-Origin: http://172.20.0.206
// 通用配置(通配符、指定域名、动态设置)
// 是否允许携带认证信息(cookies),该值只能是true
Access-Control-Allow-Credentials: true
// 预检请求缓存时间
Access-Control-Max-Age: 1800
// 允许的请求方法
Access-Control-Allow-Methods: GET, POST, PUT
// 允许的请求头字段
Access-Control-Allow-Headers: x-requested-with, content-type

Nginx配置方案


# 域名匹配规则
if ($http_origin ~* "^(.*?)\.domain\.com$") {
    set $cors_origin $http_origin;
}

# 预检请求处理
if ($request_method = 'OPTIONS') {
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Origin $cors_origin;
    add_header Access-Control-Allow-Credentials true;
    add_header Access-Control-Allow-Headers 'Content-Type,X-Requested-With';
    return 204;
}

PHP实现方式


if (!empty($_SERVER["HTTP_ORIGIN"]) && preg_match('/\.domain\.com$/', $_SERVER["HTTP_ORIGIN"])) {
    header('Access-Control-Allow-Origin: ' . $_SERVER["HTTP_ORIGIN"]);
    header('Access-Control-Allow-Credentials: true');
}
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type, Origin, X-Requested-With');

Axios配置说明


// 当使用通配符配置时需禁用Cookie携带
axios.defaults.withCredentials = true
// 后端需配合设置Access-Control-Allow-Credentials: true
// 通配符配置时需将此参数设为false

ThinkPHP6中间件实现


namespace app\api\middleware;

use Closure;
use think\Config;
use think\Response;

class CorsConfigMiddleware
{
    protected $headers = [
        'Access-Control-Allow-Origin' => 'test.domain.com',
        'Access-Control-Max-Age' => 86400,
        'Access-Control-Allow-Methods' => 'GET,POST,OPTIONS',
        'Access-Control-Allow-Headers' => 'Authorization, Content-Type, Origin'
    ];

    public function handle($request, Closure $next)
    {
        $origin = $request->header('origin');
        $headers = $this->headers;
        
        if ($origin) {
            $headers['Access-Control-Allow-Origin'] = $origin;
        } else {
            $headers['Access-Control-Allow-Origin'] = '*';
        }

        return $next($request)->header($headers);
    }
}

中间件引用配置


return [
    app\api\middleware\CorsConfigMiddleware::class
];
标签: CORS配置NginxPHP
返回列表

上一篇:二叉树算法题解集

下一篇:Spring Boot 中集成 Spring Security 实现安全控制

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.