跨域處理
跨域其實是浏覽器對網站的一種保護機制,具體原理是,浏覽器不允許通過
ajax
的方式去加載其他域名下的資源。
跨域主要有兩種解決方案:
- 通過
jsonp
- 通過
cors
Nginx主要是通過
cors
方式來解決的,主要原理是:當發起非本域名下的
ajax
請求時,浏覽器會先詢問伺服器是否允許該域名下的
ajax
請求,如果浏覽器傳回可以,那麼這次請求就是被允許的,不會被攔截。
nginx跨域配置
server {
listen 80;
server_name www.enjoy.com;
if ( $http_origin ~ http://(.*).enjoy.com){
set $allow_url $http_origin;
}
#是否允許請求帶有驗證資訊
add_header Access-Control-Allow-Credentials true;
#允許跨域通路的域名,可以是一個域的清單,也可以是通配符*
add_header Access-Control-Allow-Origin $allow_url;
#允許腳本通路的傳回頭
add_header Access-Control-Allow-Headers 'x-requested-with,content-type,Cache-Control,Pragma,Date,x-timestamp';
#允許使用的請求方法,以逗号隔開
add_header Access-Control-Allow-Methods 'POST,GET,OPTIONS,PUT,DELETE';
#允許自定義的頭部,以逗号隔開,大小寫不敏感
add_header Access-Control-Expose-Headers 'WWW-Authenticate,Server-Authorization';
#P3P支援跨域cookie操作
add_header P3P 'policyref="/w3c/p3p.xml", CP="NOI DSP PSAa OUR BUS IND ONL UNI COM NAV INT LOC"';
add_header test 1;
location / {
root html/static/;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
} 請求頭
響應頭
防盜鍊
使用防盜鍊的主要目的是:讓資源隻能在允許的域名下通路,不能單獨通路。
原理是通過校驗請求頭中的
referer
值。
valid_referers
比對域名白名單,如果不比對,把内置變量
$invalid_referers
置為1,進入
if
塊,傳回404,Nginx配置:
location ~* \.(gif|jpg|png)$ {
valid_referers *.enjoy.com;
if ($invalid_referer) {
return 404;
}
root html/gzip;
} 緩存
其實就是通過
expires
指定檔案的過期時間,Nginx配置:
location ^~ /qq.png {
# expires 2s; #緩存2秒
expires 2m; #緩存2分鐘
# expires 2h; #緩存2小時
# expires 2d; #緩存2天
root html/gzip;
} 壓縮
壓縮可以節省帶寬,但是壓縮比較也不能太高,否則會非常耗費CPU,一般通過
gzip
來實作,Nginx配置:
location ~ /(.*)\.(html|js|css|jpg|jpeg|png|gif)$ {
# 啟用gzip壓縮,預設是off,不啟用
gzip on;
# 對js、css、jpg、png、gif格式的檔案啟用gzip壓縮功能
gzip_types application/javascript text/css image/jpeg image/png image/gif;
# 所壓縮檔案的最小值,小于這個的不會壓縮
gzip_min_length 1024;
# 設定壓縮響應的緩沖塊的大小和個數,預設是記憶體一個頁的大小
gzip_buffers 4 1k;
# 壓縮水準,預設1。取值範圍1-9,取值越大壓縮比率越大,但越耗cpu時間
gzip_comp_level 1;
root html/gzip;
} https
https原理
https其實是http和ssl兩個協定構成,互動流程如下:
本地生成證書
# 1、建立伺服器私鑰,指令會讓你輸入一個密碼:
openssl genrsa -des3 -out server.key 1024
# 2、建立簽名請求的證書(CSR):
openssl req -new -key server.key -out server.csr
# 3、在加載SSL支援的Nginx并使用上述私鑰時除去必須的密碼:
openssl rsa -in server.key -out server_nopass.key
# 4、最後标記證書使用上述私鑰和CSR:
openssl x509 -req -days 365 -in server.csr -signkey server_nopass.key -out server.crt Nginx配置
server {
listen 443 ssl;
server_name sales.enjoy.com;
ssl_certificate /etc/nginx/conf.d/server.crt; #證書
ssl_certificate_key /etc/nginx/conf.d/server_nopass.key;#私鑰
location / {
root html/sales;
index welcome.html;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
} 實作灰階釋出
根據擷取header裡面内容進行灰階
# 通過負載均衡配置,配置出多套環境
upstream gray_01 {
server localhost:8081 max_fails=1 fail_timeout=60;
}
upstream default {
server localhost:8080 max_fails=1 fail_timeout=60;
}
server {
listen 80;
server_name localhost;
#比對header中env變量,設定轉發環境
set $group "default";
if ($http_env ~* "gray"){
set $group gray_01;
}
location / {
proxy_pass http://$group;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
index index.html index.htm;
}
} 根據IP灰階
# 通過負載均衡配置,配置出多套環境
upstream gray_01 {
server localhost:8081 max_fails=1 fail_timeout=60;
}
upstream default {
server localhost:8080 max_fails=1 fail_timeout=60;
}
server {
listen 80;
server_name localhost;
#比對ip,設定轉發環境
set $group default;
if ($remote_addr ~ "211.118.119.11") {
set $group gray_01;
}
location / {
proxy_pass http://$group;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
index index.html index.htm;
}
}