nginx配置CORS實現跨域

場景

最近有個上傳圖片的需求，爲了分流，將接口部署到另外一個單獨的域名，因此須要解決跨域的問題。

思路

一開始想着在後端代碼直接設置cors策略，後來發現請求都是從nginx進入，因此將cors移動到nginx下實現。同時只能對指定子域名放開訪問權限，因此設置以下。

Access-Control-Allow-Origin *.test.com

親測不可用，只能是*和指定的域名。

實現

還好nginx支持if指令，對域名作下正則校驗就能夠實現指定子域名跨域。
接下來測試發現瀏覽器的options發到後端後，沒有處理返回了一些莫名其妙的東西。
好吧直接在nginx返回不發給後端，仍是用if指令判斷http請求類型。
這裏就用了兩個if，最坑的事情出現了，nginx在多個if指令下，有些指令是最後一個if纔有效，前面的會被覆蓋。
最終仍是直接重複add_header解決。

注意點

客戶端ajax請求withCredentials屬性設置爲true纔會發送cookie。
同時cookie要是上傳域名可用的，否則仍是要經過url參數等方式去傳遞。

nginx配置

location / {
   # 檢查域名後綴
   if ($http_origin ~ \.test\.com) {
        add_header Access-Control-Allow-Origin $http_origin;
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        add_header Access-Control-Allow-Credentials true;
        add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
        add_header Access-Control-Max-Age 1728000;
   }
   # options請求不轉給後端，直接返回204
   # 第二個if會致使上面的add_header無效，這是nginx的問題，這裏直接重複執行下
   if ($request_method = OPTIONS) {
        add_header Access-Control-Allow-Origin $http_origin;
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        add_header Access-Control-Allow-Credentials true;
        add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
        add_header Access-Control-Max-Age 1728000;
        return 204;
   }
    
   # 其餘請求代理到後端
   proxy_set_header Host $host;
   proxy_redirect off;
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header X-Scheme $scheme;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto $scheme;
   proxy_pass http://xxx.xxx.xxx.xxx;
}