當(dāng)你遇到跨域問(wèn)題，不要立刻就選擇復(fù)制去嘗試，請(qǐng)?jiān)敿?xì)看完這篇文章再處理，我相信它能幫到你。

分析前準(zhǔn)備：

前端網(wǎng)站地址：http://localhost:8080

服務(wù)端網(wǎng)址：http://localhost:59200

首先保證服務(wù)端是沒(méi)有處理跨域的，其次，先用postman測(cè)試服務(wù)端接口是正常的

當(dāng)網(wǎng)站8080去訪問(wèn)服務(wù)端接口時(shí)，就產(chǎn)生了跨域問(wèn)題，那么如何解決？接下來(lái)我把跨域遇到的各種情況都列舉出來(lái)并通過(guò)nginx代理的方式解決（后臺(tái)也是一樣的，只要你理解的原理）。

跨域主要涉及4個(gè)響應(yīng)頭：

• Access-Control-Allow-Origin 用于設(shè)置允許跨域請(qǐng)求源地址 （預(yù)檢請(qǐng)求和正式請(qǐng)求在跨域時(shí)候都會(huì)驗(yàn)證）
• Access-Control-Allow-Headers 跨域允許攜帶的特殊頭信息字段 （只在預(yù)檢請(qǐng)求驗(yàn)證）
• Access-Control-Allow-Methods 跨域允許的請(qǐng)求方法或者說(shuō)HTTP動(dòng)詞 （只在預(yù)檢請(qǐng)求驗(yàn)證）
• Access-Control-Allow-Credentials 是否允許跨域使用cookies，如果要跨域使用cookies，可以添加上此請(qǐng)求響應(yīng)頭，值設(shè)為true（設(shè)置或者不設(shè)置，都不會(huì)影響請(qǐng)求發(fā)送，只會(huì)影響在跨域時(shí)候是否要攜帶cookies，但是如果設(shè)置，預(yù)檢請(qǐng)求和正式請(qǐng)求都需要設(shè)置）。不過(guò)不建議跨域使用（項(xiàng)目中用到過(guò)，不過(guò)不穩(wěn)定，有些瀏覽器帶不過(guò)去），除非必要，因?yàn)橛泻芏喾桨缚梢源妗?/li>

網(wǎng)上很多文章都是告訴你直接Nginx添加這幾個(gè)響應(yīng)頭信息就能解決跨域，當(dāng)然大部分情況是能解決，但是我相信還是有很多情況，明明配置上了，也同樣會(huì)報(bào)跨域問(wèn)題。

什么是預(yù)檢請(qǐng)求？

當(dāng)發(fā)生跨域條件時(shí)候，覽器先詢問(wèn)服務(wù)器，當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動(dòng)詞和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求，否則就報(bào)錯(cuò)。如下圖

基于 Spring Boot + MyBatis Plus + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序，支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項(xiàng)目地址：https://github.com/YunaiV/ruoyi-vue-pro
• 視頻教程：https://doc.iocoder.cn/video/

開(kāi)始動(dòng)手模擬：

Nginx代理端口：22222 ,配置如下

server{
listen22222;
server_namelocalhost;
location/{
proxy_passhttp://localhost:59200;
}
}

測(cè)試代理是否成功，通過(guò)Nginx代理端口2222再次訪問(wèn)接口，可以看到如下圖通過(guò)代理后接口也是能正常訪問(wèn)

接下來(lái)開(kāi)始用網(wǎng)站8080訪問(wèn)Nginx代理后的接口地址，報(bào)錯(cuò)情況如下↓↓↓

情況1：

Access to XMLHttpRequest at 'http://localhost:22222/api/Login/TestGet' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

通過(guò)錯(cuò)誤信息可以很清晰的定位到錯(cuò)誤（注意看標(biāo)紅部分）priflight說(shuō)明是個(gè)預(yù)請(qǐng)求，CORS 機(jī)制跨域會(huì)首先進(jìn)行 preflight（一個(gè) OPTIONS 請(qǐng)求）， 該請(qǐng)求成功后才會(huì)發(fā)送真正的請(qǐng)求。這一設(shè)計(jì)旨在確保服務(wù)器對(duì) CORS 標(biāo)準(zhǔn)知情，以保護(hù)不支持 CORS 的舊服務(wù)器

通過(guò)錯(cuò)誤信息，我們可以得到是預(yù)檢請(qǐng)求的請(qǐng)求響應(yīng)頭缺少了 Access-Control-Allow-Origin，錯(cuò)哪里，我們改哪里就好了。修改Nginx配置信息如下（紅色部分為添加部分），缺什么就補(bǔ)什么，很簡(jiǎn)單明了

server{
listen22222;
server_namelocalhost;
location/{
add_headerAccess-Control-Allow-Origin'http://localhost:8080';
proxy_passhttp://localhost:59200;
}
}

哈哈，當(dāng)滿懷歡喜的以為能解決后，發(fā)現(xiàn)還是報(bào)了同樣的問(wèn)題

不過(guò)我們的配置沒(méi)什么問(wèn)題,問(wèn)題在Nginx,下圖鏈接http://nginx.org/en/docs/http/ngx_http_headers_module.html

add_header 指令用于添加返回頭字段，當(dāng)且僅當(dāng)狀態(tài)碼為圖中列出的那些時(shí)有效。如果想要每次響應(yīng)信息都攜帶頭字段信息，需要在最后添加always（經(jīng)我測(cè)試，只有Access-Control-Allow-Origin這個(gè)頭信息需要加always，其他的不加always也會(huì)攜帶回來(lái)），那我們加上試試

server{
listen22222;
server_namelocalhost;
location/{
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
proxy_passhttp://localhost:59200;
}
}

修改了配置后，發(fā)現(xiàn)生效了，當(dāng)然不是跨域就解決了，是上面這個(gè)問(wèn)題已經(jīng)解決了，因?yàn)閳?bào)錯(cuò)內(nèi)容已經(jīng)變了。

情況2：

Access to XMLHttpRequest at 'http://localhost:22222/api/Login/TestGet' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

通過(guò)報(bào)錯(cuò)信息提示可以得知，是跨域?yàn)g覽器默認(rèn)行為的預(yù)請(qǐng)求（option請(qǐng)求）沒(méi)有收到ok狀態(tài)碼，此時(shí)再修改配置文件，當(dāng)請(qǐng)求為option請(qǐng)求時(shí)候，給瀏覽器返回一個(gè)狀態(tài)碼（一般是204）

server{
listen22222;
server_namelocalhost;
location/{
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
if($request_method='OPTIONS'){
return204;
}
proxy_passhttp://localhost:59200;
}
}

當(dāng)配置完后，發(fā)現(xiàn)報(bào)錯(cuò)信息變了

情況3：

Access to XMLHttpRequest at 'http://localhost:22222/api/Login/TestGet' from origin 'http://localhost:8080' has been blocked by CORS policy: Request header field authorization is not allowed by Access-Control-Allow-Headers in preflight response.

意思就是預(yù)請(qǐng)求響應(yīng)頭Access-Control-Allow-Headers中缺少頭信息authorization（各種情況會(huì)不一樣，在發(fā)生跨域后，在自定義添加的頭信息是不允許的，需要添加到請(qǐng)求響應(yīng)頭Access-Control-Allow-Headers中，以便瀏覽器知道此頭信息的攜帶是服務(wù)器承認(rèn)合法的，我這里攜帶的是authorization，其他的可能是token之類的，缺什么加什么），知道了問(wèn)題所在，然后修改配置文件，添加對(duì)應(yīng)缺少的部分，再試試

server{
listen22222;
server_namelocalhost;
location/{
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
if($request_method='OPTIONS'){
add_headerAccess-Control-Allow-Headers'authorization';#為什么寫(xiě)在if里面而不是接著Access-Control-Allow-Origin往下寫(xiě)？因?yàn)檫@里只有預(yù)檢請(qǐng)求才會(huì)檢查
return204;
}
proxy_passhttp://localhost:59200;
}
}

此時(shí)發(fā)現(xiàn)報(bào)錯(cuò)問(wèn)題又回到了情況1

經(jīng)測(cè)試驗(yàn)證，只要if ($request_method = 'OPTIONS') 里面寫(xiě)了 add_header ，當(dāng)為預(yù)檢請(qǐng)求時(shí)外部配置的都會(huì)失效，為什么？↓↓。

官方文檔是這樣說(shuō)的：

There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.

意思就是當(dāng)前層級(jí)無(wú) add_header 指令時(shí)，則繼承上一層級(jí)的add_header。相反的若當(dāng)前層級(jí)有了add_header，就應(yīng)該無(wú)法繼承上一層的add_header。

配置修改如下：

server{
listen22222;
server_namelocalhost;
location/{
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
if($request_method='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080';
add_headerAccess-Control-Allow-Headers'authorization';
return204;
}
proxy_passhttp://localhost:59200;
}
}

此時(shí)改完發(fā)現(xiàn)跨域問(wèn)題已經(jīng)解決了，

不過(guò)以上雖然解決了跨域問(wèn)題，但是考慮后期可能Nginx版本更新,不知道這個(gè)規(guī)則會(huì)不會(huì)被修改，考慮到這樣的寫(xiě)法可能會(huì)攜帶上兩個(gè) Access-Control-Allow-Origin ，這種情況也是不允許的，下面會(huì)說(shuō)到。所以配置適當(dāng)修改如下：

server{
listen22222;
server_namelocalhost;
location/{
if($request_method='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080';
add_headerAccess-Control-Allow-Headers'authorization';
return204;
}
if($request_method!='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
}
proxy_passhttp://localhost:59200;
}
}

還沒(méi)完，繼續(xù)聊 ↓↓

情況4：

比較早期的API可能只用到了POST和GET請(qǐng)求，而Access-Control-Allow-Methods這個(gè)請(qǐng)求響應(yīng)頭跨域默認(rèn)只支持POST和GET，當(dāng)出現(xiàn)其他請(qǐng)求類型時(shí)候，同樣會(huì)出現(xiàn)跨域異常。

比如，我這里將請(qǐng)求的API接口請(qǐng)求方式從原來(lái)的GET改成PUT，在發(fā)起一次試試。在控制臺(tái)上會(huì)拋出錯(cuò)誤：

Access to XMLHttpRequest at 'http://localhost:22222/api/Login/TestGet' from origin 'http://localhost:8080' has been blocked by CORS policy: Method PUT is not allowed by Access-Control-Allow-Methods in preflight response.

報(bào)錯(cuò)內(nèi)容也講的很清楚，在這個(gè)預(yù)請(qǐng)求中，PUT方法是不允許在跨域中使用的，我們需要改下Access-Control-Allow-Methods的配置(缺什么加上么，這里我只加了PUT，可以自己加全一點(diǎn))，讓瀏覽器知道服務(wù)端是允許的

server{
listen22222;
server_namelocalhost;
location/{
if($request_method='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080';
add_headerAccess-Control-Allow-Headers'content-type,authorization';
add_headerAccess-Control-Allow-Methods'PUT';#為這么只加在這個(gè)if中，不再下面的if也加上？因?yàn)檫@里只有預(yù)檢請(qǐng)求會(huì)校驗(yàn)，當(dāng)然你加上也沒(méi)事。
return204;
}
if($request_method!='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
}
proxy_passhttp://localhost:59200;
}
}

這里注意一下，改成PUT類型后，Access-Control-Allow-Headers請(qǐng)求響應(yīng)頭又會(huì)自動(dòng)校驗(yàn)content-type這個(gè)請(qǐng)求頭，和情況3是一樣的，缺啥補(bǔ)啥就行了。如果不加上content-type，則會(huì)報(bào)如下錯(cuò)誤。（想簡(jiǎn)單的話，Access-Control-Allow-Headers和Access-Control-Allow-Methods可以設(shè)置為 * ,表示全都匹配。但是Access-Control-Allow-Origin就不建議設(shè)置成 * 了，為了安全考慮，限制域名是很有必要的。）

都加上后，問(wèn)題就解決了，這里報(bào)405是我服務(wù)端這個(gè)接口只開(kāi)放了GET，沒(méi)有開(kāi)放PUT，而此刻我將此接口用PUT方法去請(qǐng)求，所以接口會(huì)返回這個(gè)狀態(tài)碼。

情況5：

最后再說(shuō)一種情況，就是后端處理了跨域，就不需要自己在處理了（這里吐槽下，某些后端工程師自己改服務(wù)端代碼解決跨域，但是又不理解其中原理，網(wǎng)上隨便找段代碼黏貼，導(dǎo)致響應(yīng)信息可能處理不完全，如method沒(méi)添加全，headers沒(méi)加到點(diǎn)上，自己用的那個(gè)可能復(fù)制過(guò)來(lái)的并不包含實(shí)際項(xiàng)目所用到的，沒(méi)有添加options請(qǐng)求返回狀態(tài)碼等，導(dǎo)致Nginx再用通用的配置就會(huì)可能報(bào)以下異常）

Access to XMLHttpRequest at 'http://localhost:22222/api/Login/TestGet' from origin 'http://localhost:8080' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*, http://localhost:8080', but only one is allowed.

意思就是此刻Access-Control-Allow-Origin請(qǐng)求響應(yīng)頭返回了多個(gè)，而只允許有一個(gè)，這種情況當(dāng)然修改配置去掉Access-Control-Allow-Origin這個(gè)配置就可以了，不過(guò)遇到這種情況，建議Nginx配置和服務(wù)端自己解決跨域只選其一。（這里注意如果按我上面的寫(xiě)法，if $request_method = 'OPTIONS' 這個(gè)里面的Access-Control-Allow-Origin可不能刪除，刪除!='OPTIONS'里面的就好了，因?yàn)檫@里如果是預(yù)檢請(qǐng)求直接就ruturn了，請(qǐng)求不會(huì)再轉(zhuǎn)發(fā)到59200服務(wù)，如果也刪除了，就會(huì)報(bào)和情況1一樣的錯(cuò)誤。所以為什么說(shuō)要不服務(wù)端代碼層面解決跨域，要不就Nginx代理解決，不要混著搞，不然不明白原理的人，網(wǎng)上找一段代碼貼就很可能解決不了問(wèn)題）

↓ ↓ ↓ ↓ ↓

再貼一份完整配置（*號(hào)根據(jù)自己‘喜好’填寫(xiě)）：

server{
listen22222;
server_namelocalhost;
location/{
if($request_method='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080';
add_headerAccess-Control-Allow-Headers'*';
add_headerAccess-Control-Allow-Methods'*';
add_headerAccess-Control-Allow-Credentials'true';
return204;
}
if($request_method!='OPTIONS'){
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
add_headerAccess-Control-Allow-Credentials'true';
}
proxy_passhttp://localhost:59200;
}
}

或者：

server{
listen22222;
server_namelocalhost;
location/{
add_headerAccess-Control-Allow-Origin'http://localhost:8080'always;
add_headerAccess-Control-Allow-Headers'*';
add_headerAccess-Control-Allow-Methods'*';
add_headerAccess-Control-Allow-Credentials'true';
if($request_method='OPTIONS'){
return204;
}
proxy_passhttp://localhost:59200;
}
}

最后，這是一篇解決跨域遇到問(wèn)題解決問(wèn)題的過(guò)程，如果認(rèn)真看完了，我相信應(yīng)該都能很容易的理解，并且在實(shí)際使用中自己解決該問(wèn)題，希望能幫助到大家，以上內(nèi)容都是自己理解自己測(cè)試碼出來(lái)的，如有理解不對(duì)的地方，望大家指正。