apache如何解決跨域資源訪問
阿新 • • 發佈:2019-02-04
很多時候,大中型網站為了靜態資源分散式部署,加快訪問速度,減輕主站壓力,會把靜態資源(例如字型檔案、圖片等)放在獨立伺服器或者CDN上,並且使用獨立的資源域名(例如res.test.com)
但是在實際部署中,會發現瀏覽器無法載入這些不同域名的資源,firefox控制檯會報錯:
<span role="presentation" class="objectBox objectBox-errorMessage "><span class="errorMessage ">已阻止跨源請求:同源策略禁止讀取位於 http://xxxxx 的遠端資源。(原因:CORS 頭缺少 'Access-Control-Allow-Origin')。</span></span> 已阻止跨源請求:同源策略禁止讀取位於 http://xxxxx 的遠端資源。(原因:CORS 請求失敗)。
這是因為現代瀏覽器將其定義為跨域資源而不允許載入
理解跨域首先必須要了解同源策略。同源策略是瀏覽器上為安全性考慮實施的非常重要的安全策略。
何謂同源:
URL由協議、域名、埠和路徑組成,如果兩個URL的協議、域名和埠相同,則表示他們同源。
同源策略:
瀏覽器的同源策略,限制了來自不同源的"document"或指令碼,對當前"document"讀取或設定某些屬性。 (白帽子講web安全[1])
從一個域上載入的指令碼不允許訪問另外一個域的文件屬性。
那麼關鍵是如何解決呢,其實很簡單,只要在靜態資源伺服器上,增加一個頭資訊:
Access-Control-Allow-Origin *
本文就apache進行操作,nginx大同小異
首先編輯httpd.conf
找到這行
#LoadModule headers_module modules/mod_headers.so
把#註釋符去掉
LoadModule headers_module modules/mod_headers.so
目的是開啟apache頭資訊自定義模組
然後在獨立資源域名的虛擬主機新增一行
Header set Access-Control-Allow-Origin *
意思是對這個域名的資源進行訪問時,新增一個頭資訊
重啟apache
再訪問,OK!