最近寫了一些關於前后端分離項目之后,跨域相關方案的基本原理和常見誤區的帖子,主要包括CORS和Nginx反向代理。這兩種方案項目中都有在用,各有優缺,關於具體使用哪種方案,大家的觀點也不大一致,本文主要就此展開一下,從前后端及服務器配置、安全性、移植靈活性、擴展性等方面詳細對比一下兩種方案的優缺,以便於后期在方案選型上對大家有所幫助。
前端配置
CORS方案:跨域時部分瀏覽器默認不攜帶cookie,因此為了攜帶cookie需要設置一下xmlhttprequest的withCrendetails屬性,使用vue-resouce時設置如下
Vue.http.options.credentials = true
用axios時,可以在攔截器中設置如下
axios.interceptors.request.use((config) => {
config.withCredentials = true
return config
}, (error) => {
return Promise.reject(error)
})
使用原生XMLHttpRequest對象時如下,
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
如果不需要傳遞cookie,最好置成false,避免不嗯瀏覽器默認允許cookie的攜帶。
Nginx反向代理:此時前端相當於不跨域,和正常請求一致,無需額外配置。
后端配置
CORS方案: 后端需要包裝ACA系列header,
'Access-Control-Allow-Origin' '*';
'Access-Control-Allow-Credentials' "true";
'Access-Control-Allow-Headers' 'X-Requested-With';
除此以外無需額外配置。
Nginx反向代理:此時后端相當於不跨域,和正常請求一致,無需額外配置。
服務器配置
CORS方案: 無。
Nginx反向代理:該方案跨域工作都集中在nginx服務器上,配置如下
...
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Real-Port $remote_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
...
location /api {
proxy_pass https://b.test.com; # 設置代理服務器的協議和地址
proxy_cookie_domain b.test.com a.test.com; # 修改cookie,針對request和response互相寫入cookie
}
...
原理移步nginx反向代理跨域基本配置與常見誤區、nginx配置解析之客戶端真實IP的傳遞
安全性
CORS方案: 由於此時瀏覽器會默認添加origin屬性,服務端可以直接查到請求來源,便於控制來源、屏蔽黑名單鏈接。同時服務端域名和端口會暴露出來。
Nginx反向代理:反向代理方案中沒有默認的origin頭部可以使用,但是可以通過X-Forward-For頭部查看客戶端及各級代理ip,也可以實現一定程度的回溯追蹤和黑名單屏蔽。由於反向代理中,可以采用內網地址訪問接口服務器,這樣可以一定程度上保護接口服務器不暴露出來。
移植靈活性、擴展性
CORS方案: 只需要在代碼或者配置中心進行黑白名單配置即可,方便移植和擴展。
Nginx反向代理:不同環境服務域名可能不一致,因此nginx配置也各不相同,不便於移植。而對於擴展性,當存在新的項目需要訪問接口服務器時,需要首先訪問nginx中server指定的域名,再由server域名反向代理到接口服務器,比如
server {
listen 8443;
server_name a.test.com;
client_max_body_size 100m;
ssl ...
location /micro{
proxy_pass https://b.test.com; #反向代理
proxy_cookie_domain b.test.com a.test.com; #修改cookie
add_header 'Access-Control-Allow-Origin' 'htps://c.test.com';
add_header 'Access-Control-Allow-Credentials' "true";
add_header Access-Control-Allow-Headers X-Requested-With;
}
}
這個時候跨域模型就變了,由單純的a.test.com反向代理到b.test.com,變成了a.test.com反向代理到b.test.com以及c.test.comCORS到a.test.com再反向代理到b.test.comd的情況。這個有點繞,但仔細想一下就會明白。這無疑增加了后期的維護成本。
綜合對比
綜合以上,我們大致可以得到如下圖標
| Item | CORS | Nginx反向代理 |
|---|---|---|
| 代碼配置--前端 | credentials=true | 無 |
| 代碼配置--后台 | setHeader:ACA-Origin、ACA-Method、ACA-Credentials等 | 無 |
| 服務器配置 | 無 | Nginx配置 |
| 移植靈活性 | 高、無需額外配置 | 低、每套環境配置可能均不相同 |
| 安全性 | 來源可控、直接追溯 | X-Forwarded-For追溯多級來源 |
| 新項目擴展 | 黑白名單控制 | 更新配置,跨域模型會產生變化 |
對比結論
綜上呢,對於公共基礎服務,由於涉及到對接的前端項目可能比較多,開發測試部署環境也比較多,整體上來講我更傾向於推薦大家使用CORS方案。而對於一些對立性強的小項目,使用nginx則可以降低你的開發成本,快速發開快速上線。具體使用當然也要結合工作實際,按需使用吧。
此外對於Nginx反向代理方案使用時,推薦使用內部域名/ip作為接口服務器的入口,盡量不要暴露到外面,以免出現不必要的安全問題。
~本篇完~歡迎大家一起討論~
我的博客即將搬運同步至騰訊雲+社區,邀請大家一同入駐:https://cloud.tencent.com/developer/support-plan?invite_code=1x3cwnkiebkl8