跨域处理
跨域其实是浏览器对网站的一种保护机制,具体原理是,浏览器不允许通过
ajax
的方式去加载其他域名下的资源。
跨域主要有两种解决方案:
- 通过
jsonp
- 通过
cors
Nginx主要是通过
cors
方式来解决的,主要原理是:当发起非本域名下的
ajax
请求时,浏览器会先询问服务器是否允许该域名下的
ajax
请求,如果浏览器返回可以,那么这次请求就是被允许的,不会被拦截。
nginx跨域配置
server {
listen 80;
server_name www.enjoy.com;
if ( $http_origin ~ http://(.*).enjoy.com){
set $allow_url $http_origin;
}
#是否允许请求带有验证信息
add_header Access-Control-Allow-Credentials true;
#允许跨域访问的域名,可以是一个域的列表,也可以是通配符*
add_header Access-Control-Allow-Origin $allow_url;
#允许脚本访问的返回头
add_header Access-Control-Allow-Headers 'x-requested-with,content-type,Cache-Control,Pragma,Date,x-timestamp';
#允许使用的请求方法,以逗号隔开
add_header Access-Control-Allow-Methods 'POST,GET,OPTIONS,PUT,DELETE';
#允许自定义的头部,以逗号隔开,大小写不敏感
add_header Access-Control-Expose-Headers 'WWW-Authenticate,Server-Authorization';
#P3P支持跨域cookie操作
add_header P3P 'policyref="/w3c/p3p.xml", CP="NOI DSP PSAa OUR BUS IND ONL UNI COM NAV INT LOC"';
add_header test 1;
location / {
root html/static/;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
} 请求头
响应头
防盗链
使用防盗链的主要目的是:让资源只能在允许的域名下访问,不能单独访问。
原理是通过校验请求头中的
referer
值。
valid_referers
匹配域名白名单,如果不匹配,把内置变量
$invalid_referers
置为1,进入
if
块,返回404,Nginx配置:
location ~* \.(gif|jpg|png)$ {
valid_referers *.enjoy.com;
if ($invalid_referer) {
return 404;
}
root html/gzip;
} 缓存
其实就是通过
expires
指定文件的过期时间,Nginx配置:
location ^~ /qq.png {
# expires 2s; #缓存2秒
expires 2m; #缓存2分钟
# expires 2h; #缓存2小时
# expires 2d; #缓存2天
root html/gzip;
} 压缩
压缩可以节省带宽,但是压缩比较也不能太高,否则会非常耗费CPU,一般通过
gzip
来实现,Nginx配置:
location ~ /(.*)\.(html|js|css|jpg|jpeg|png|gif)$ {
# 启用gzip压缩,默认是off,不启用
gzip on;
# 对js、css、jpg、png、gif格式的文件启用gzip压缩功能
gzip_types application/javascript text/css image/jpeg image/png image/gif;
# 所压缩文件的最小值,小于这个的不会压缩
gzip_min_length 1024;
# 设置压缩响应的缓冲块的大小和个数,默认是内存一个页的大小
gzip_buffers 4 1k;
# 压缩水平,默认1。取值范围1-9,取值越大压缩比率越大,但越耗cpu时间
gzip_comp_level 1;
root html/gzip;
} https
https原理
https其实是http和ssl两个协议构成,交互流程如下:
本地生成证书
# 1、创建服务器私钥,命令会让你输入一个口令:
openssl genrsa -des3 -out server.key 1024
# 2、创建签名请求的证书(CSR):
openssl req -new -key server.key -out server.csr
# 3、在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:
openssl rsa -in server.key -out server_nopass.key
# 4、最后标记证书使用上述私钥和CSR:
openssl x509 -req -days 365 -in server.csr -signkey server_nopass.key -out server.crt Nginx配置
server {
listen 443 ssl;
server_name sales.enjoy.com;
ssl_certificate /etc/nginx/conf.d/server.crt; #证书
ssl_certificate_key /etc/nginx/conf.d/server_nopass.key;#私钥
location / {
root html/sales;
index welcome.html;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
} 实现灰度发布
根据获取header里面内容进行灰度
# 通过负载均衡配置,配置出多套环境
upstream gray_01 {
server localhost:8081 max_fails=1 fail_timeout=60;
}
upstream default {
server localhost:8080 max_fails=1 fail_timeout=60;
}
server {
listen 80;
server_name localhost;
#匹配header中env变量,设置转发环境
set $group "default";
if ($http_env ~* "gray"){
set $group gray_01;
}
location / {
proxy_pass http://$group;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
index index.html index.htm;
}
} 根据IP灰度
# 通过负载均衡配置,配置出多套环境
upstream gray_01 {
server localhost:8081 max_fails=1 fail_timeout=60;
}
upstream default {
server localhost:8080 max_fails=1 fail_timeout=60;
}
server {
listen 80;
server_name localhost;
#匹配ip,设置转发环境
set $group default;
if ($remote_addr ~ "211.118.119.11") {
set $group gray_01;
}
location / {
proxy_pass http://$group;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
index index.html index.htm;
}
}