针对跨域的问题,网上一搜已经很多了。很多都是如下的配置
1 2 3 4 5 6 7 8 if ($request_method = OPTIONS) { add_header 'Access-Control-Allow-Origin' "$http_origin " ; add_header 'Access-Control-Allow-Credentials' 'true' ; add_header 'Access-Control-Max-Age' 1728000; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, HEAD, DELETE,TRACE,PUT,CONNECT' ; add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type,Accept,Origin,User-Agent,DNT,Cache-Control,X-Mx-ReqToken,Keep-Alive,X-Requested-With,If-Modified-Since,restrict-access,share-secret,thumbnail' ; return 200; }
但是这次按这样做了,居然没有效果。本来以为是location的问题。后来仔细看下了官方文档,默认只能是2xx和3xx的这些可以。
http://nginx.org/en/docs/http/ngx_http_headers_module.html
Adds the specified field to a response header provided that the response code equals 200, 201 (1.3.10), 204, 206, 301, 302, 303, 304, 307 (1.1.16, 1.0.13), or 308 (1.13.0). Parameter value can contain variables.
同时又比较怀疑是chrome版本的问题,怕新版的chrome有一些新的限制,但是放狗搜了一下也没有人说起。自己测试了一下发现也是一样的问题,只是发现直接访问是返回500的错误。
那看来问题就是可以定位出来了。nginx官方是1.7.5以后可以加上always参数来规避这个。但是我们的版本是比较老的,那就用lua来解决这个吧。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 header_filter_by_lua " if ngx.req.get_method() == 'OPTIONS' then ngx.header.access_control_allow_origin = ngx.var.http_origin ngx.header.access_control_allow_credentials = 'true' ngx.header.access_control_max_age = 1728000 ngx.header.access_control_allow_methods = ngx.var.http_access_control_request_method ngx.header.access_control_allow_headers = ngx.var.http_access_control_request_headers ngx.header.cors = 'true' ngx.exit(200) else if ngx.var.http_origin then ngx.header.access_control_allow_origin = ngx.var.http_origin ngx.header.access_control_allow_credentials = 'true' ngx.header.access_control_allow_methods = ngx.var.http_access_control_request_method ngx.header.access_control_allow_headers = ngx.var.http_access_control_request_headers ngx.header.cors = 'true' end end " ;
虽然现在看着很简单,但是这个问题的原因发现还是搞了一下午。