当前位置: 首页 > article >正文

一次 Nginx 跨域代理的完整排坑实录:从证书错误到 CORS 配置

article 2026/4/9 13:23:35
一次 Nginx 跨域代理的完整排坑实录从证书错误到 CORS 配置关键词Nginx、CORS、跨域、SSL证书、反向代理、预检请求一、背景与需求最近在做一个项目架构如下前端域名https://www.example.com第三方APIhttps://thirdparty-api.example.net不支持 CORS目标前端需要调用该第三方 API但存在跨域问题解决方案使用 Nginx 做反向代理将请求转发到自己的子域名https://api.example.com并在 Nginx 层添加 CORS 响应头。预期请求链路浏览器 → api.example.com (Nginx) → thirdparty-api.example.net本以为是个简单的配置结果前后踩了6 个坑耗时整整一天。本文将完整记录排坑过程希望对遇到类似问题的朋友有所帮助。二、踩坑全记录坑位1SSL 证书域名不匹配错误现象ERR_CERT_COMMON_NAME_INVALID原因分析api.example.com使用了www.example.com的 SSL 证书导致浏览器校验证书时发现域名不匹配。解决方案为api.example.com申请独立的 SSL 证书certbot certonly--nginx-dapi.example.com教训每个子域名都需要自己的证书或使用通配符证书*.example.com。坑位2CORS 预检请求失败错误现象Access to fetch at https://api.example.com/... from origin https://www.example.com has been blocked by CORS policy: No Access-Control-Allow-Origin header is present原因分析浏览器在发送实际请求前会先发送一个OPTIONS预检请求。Nginx 没有正确处理这个请求也没有返回必要的 CORS 响应头。解决方案在 Nginx 配置中添加 CORS 头和 OPTIONS 请求处理location / { # CORS 响应头 add_header Access-Control-Allow-Origin https://www.example.com always; add_header Access-Control-Allow-Methods GET, POST, OPTIONS always; add_header Access-Control-Allow-Headers Content-Type, Authorization always; add_header Access-Control-Allow-Credentials true always; # 处理预检请求 if ($request_method OPTIONS) { add_header Content-Length 0; add_header Content-Type text/plain charsetutf-8; return 204; } # 代理配置... }坑位3add_header 语法错误错误现象[emerg] add_header directive is not allowed here in /etc/nginx/conf.d/ssl.conf:47原因分析add_header指令被放在了 Nginx 不允许的位置。这个指令只能出现在http、server、location块中不能随意放置。错误示例server { # 正确位置 add_header Header1 value1 always; location / { # 正确位置 add_header Header2 value2 always; } } # ❌ 错误在 server/location 块外面 add_header Header3 value3 always;解决方案确保所有add_header都在server或location块内部。坑位4Access-Control-Allow-Origin 重复错误现象The Access-Control-Allow-Origin header contains multiple values https://www.example.com, https://www.example.com, but only one is allowed.原因分析Nginx 配置中add_header Access-Control-Allow-Origin ...被写了两次导致响应头中出现重复值。解决方案检查配置文件确保每个 CORS 头只添加一次。如果同时在server和location块中添加了保留一处即可。坑位5代理 Host 头不正确错误现象后端 API 返回 502 或 404但直接访问后端 API 是正常的。原因分析默认情况下proxy_set_header Host $host会将 Host 头设置为api.example.com而后端 API 可能期望的是自己的域名thirdparty-api.example.net。解决方案使用$proxy_host变量它保存的是proxy_pass中指定的域名# ❌ 错误Host 头变成 api.example.com proxy_set_header Host $host; # ✅ 正确Host 头保持 thirdparty-api.example.net proxy_set_header Host $proxy_host;坑位6后端使用 HTTPS 导致证书问题错误现象Nginx 代理到https://thirdparty-api.example.net时出现 SSL 错误。原因分析Nginx 作为代理去访问 HTTPS 后端时需要验证后端证书。如果后端证书有问题自签名、过期、域名不匹配等Nginx 会拒绝连接。解决方案有两种方式方案A推荐使用 HTTP 协议代理# 如果后端支持 HTTP直接用 HTTP proxy_pass http://thirdparty-api.example.net$request_uri;方案B忽略证书验证仅临时使用proxy_pass https://thirdparty-api.example.net$request_uri; proxy_ssl_verify off; # 关闭证书验证三、最终正确的配置经过以上所有坑位的修复最终配置如下server { listen 443 ssl; server_name api.example.com; # DNS 解析器使用域名代理时推荐添加 resolver 114.114.114.114 223.5.5.5 valid30s; resolver_timeout 10s; # SSL 证书使用子域名自己的证书 ssl_certificate /etc/letsencrypt/live/api.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/api.example.com/privkey.pem; # HSTS 安全头 add_header Strict-Transport-Security max-age31536000; includeSubDomains; preload always; # SSL 配置 ssl_session_timeout 1d; ssl_session_cache shared:MozSSL:10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers off; client_max_body_size 100M; location / { # CORS 配置 add_header Access-Control-Allow-Origin https://www.example.com always; add_header Access-Control-Allow-Methods GET, POST, OPTIONS always; add_header Access-Control-Allow-Headers Content-Type, Authorization always; add_header Access-Control-Allow-Credentials true always; # 处理预检请求 if ($request_method OPTIONS) { add_header Content-Length 0; add_header Content-Type text/plain charsetutf-8; return 204; } # 代理配置 # 核心转发使用 HTTP 避免后端证书问题 proxy_pass http://thirdparty-api.example.net$request_uri; # 关键使用 $proxy_host 保持原始 Host proxy_set_header Host $proxy_host; # 传递真实客户端信息 proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # HTTP 1.1 支持 proxy_http_version 1.1; proxy_set_header Connection ; # 超时设置 proxy_connect_timeout 60s; proxy_send_timeout 60s; proxy_read_timeout 60s; # API 最佳实践禁用缓存 proxy_buffering off; proxy_cache off; } } # HTTP 重定向到 HTTPS server { listen 80; server_name api.example.com; return 301 https://$server_name$request_uri; }四、核心经验总结1. 关于 SSL 证书要点说明子域名需要独立证书api.example.com不能使用www.example.com的证书申请命令certbot certonly --nginx -d api.example.com通配符证书*.example.com可以覆盖所有子域名2. 关于 CORS 配置要点说明必须处理 OPTIONS浏览器预检请求需要返回 204头不能重复Access-Control-Allow-Origin只能出现一次位置限制add_header只能在server/location块内3. 关于代理转发要点说明Host 头用$proxy_host保持后端期望的域名添加$request_uri完整传递请求路径后端可以用 HTTP浏览器到 Nginx 需要 HTTPSNginx 到后端可以用 HTTP4. 调试技巧# 测试 Nginx 配置语法nginx-t# 查看错误日志tail-f/var/log/nginx/error.log# 测试 CORS 响应头curl-XOPTIONS https://api.example.com/api/test\-HOrigin: https://www.example.com\-HAccess-Control-Request-Method: POST\-v21|grep-iaccess-control五、一个重要的认知Postman 能请求成功 ≠ 浏览器能请求成功工具是否检查 CORS说明Postman❌ 不检查桌面应用不受浏览器安全策略限制curl❌ 不检查命令行工具浏览器✅ 严格检查为了用户安全必须配置正确的 CORS这个认知能帮助您在调试时快速定位问题Postman 通但浏览器不通 → 99% 是 CORS 配置问题。六、架构总结最终的成功架构浏览器 -----------(HTTPS)----------- Nginx -----------(HTTP)----------- 后端 (www.example.com) (api.example.com) (thirdparty-api) ↑ ↑ ↑ 安全连接 SSL证书 CORS头 内部通信关键设计思想浏览器到 Nginx必须 HTTPS证书有效Nginx 到后端可以用 HTTP避免证书麻烦Nginx 层统一处理 CORS后端无需改造七、写在最后这次排坑让我深刻体会到Nginx 配置顺序和位置非常重要一个小错误就能导致整个服务不可用CORS 不是后端的事是 Nginx/网关层的事统一处理比每个后端服务单独配置要优雅得多HTTPS 是端到端的但中间代理可以用 HTTP 转发不影响整体安全性遇到问题先看日志Nginx 的错误日志非常详细能定位 90% 的问题希望这篇文章能帮助到正在被 Nginx 跨域问题困扰的您。如果您有更好的实践或发现文章中的错误欢迎交流讨论相关文章推荐MDN: CORS 跨域资源共享Nginx 官方文档ngx_http_proxy_moduleLet’s Encrypt 免费 SSL 证书申请指南

相关文章:

一次 Nginx 跨域代理的完整排坑实录:从证书错误到 CORS 配置

一次 Nginx 跨域代理的完整排坑实录:从证书错误到 CORS 配置 关键词:Nginx、CORS、跨域、SSL证书、反向代理、预检请求 一、背景与需求 最近在做一个项目,架构如下: 前端域名:https://www.example.com第三方API&…...

编程日记 2026/4/9 13:23:35

3种方法实现Axure全界面汉化:axure-cn语言包深度应用指南

3种方法实现Axure全界面汉化:axure-cn语言包深度应用指南 【免费下载链接】axure-cn Chinese language file for Axure RP. Axure RP 简体中文语言包。支持 Axure 11、10、9。不定期更新。 项目地址: https://gitcode.com/gh_mirrors/ax/axure-cn Axure-cn是…...

编程日记 2026/4/9 13:23:35

CentOS下载torrent文件的工具aria2的安装

# 下载最新版 (版本号可替换) VERSION"1.37.0" wget https://github.com/aria2/aria2/releases/download/release-${VERSION}/aria2-${VERSION}.tar.gz# 解压并进入目录 tar -zxvf aria2-${VERSION}.tar.gz cd aria2-${VERSION}# 配置、编译和安装 ./configure make …...

编程日记 2026/4/9 13:23:29

【仅限前500名开发者】EF Core 10向量搜索成本诊断工具包(含SQL Server 2022向量索引开销分析器CLI)

第一章:EF Core 10向量搜索扩展成本控制策略全景概览EF Core 10 引入的向量搜索扩展(Microsoft.EntityFrameworkCore.Vector)为.NET开发者提供了原生支持近似最近邻(ANN)查询的能力,但其底层依赖向量索引构…...

编程日记 2026/4/9 13:21:29

3个步骤掌握Ryujinx模拟器高级配置:从入门到精通指南

3个步骤掌握Ryujinx模拟器高级配置:从入门到精通指南 【免费下载链接】Ryujinx 用 C# 编写的实验性 Nintendo Switch 模拟器 项目地址: https://gitcode.com/GitHub_Trending/ry/Ryujinx Ryujinx作为一款用C#编写的实验性Nintendo Switch模拟器,为…...

编程日记 2026/4/9 13:21:29

CPV10-GE-DN3-8控制阀端子

CPV10-GE-DN3-8控制阀端子是一款应用于气动控制系统中的关键连接与分配单元,主要用于阀岛系统中的信号与气路接口管理,具备结构紧凑、连接可靠等特点,广泛应用于自动化生产线及工业控制领域。模块化设计,便于系统扩展与组合使用接…...

编程日记 2026/4/9 13:21:29

【2026年最新600套毕设项目分享】基于Spring Boot的音乐播放网站(14348)

有需要的同学,源代码和配套文档领取,加文章最下方的名片哦二、资料介绍完整源代码(前后端源代码SQL脚本)配套文档(LWPPT开题报告/任务书)远程调试控屏包运行一键启动项目(无需搭建环境&#xff…...

编程日记 2026/4/9 13:21:29

Lychee-Rerank参数详解:instruction模板设计技巧(含法律/医疗/金融领域示例)

Lychee-Rerank参数详解:instruction模板设计技巧(含法律/医疗/金融领域示例) 1. 工具核心原理与价值 Lychee-Rerank是一个基于Qwen2.5-1.5B模型的本地检索相关性评分工具,专门用于评估查询语句与文档内容之间的匹配程度。与云端…...

编程日记 2026/4/9 13:21:28

终极游戏模组管理革命:XXMI启动器让二次元游戏体验全面升级

终极游戏模组管理革命:XXMI启动器让二次元游戏体验全面升级 【免费下载链接】XXMI-Launcher Modding platform for GI, HSR, WW and ZZZ 项目地址: https://gitcode.com/gh_mirrors/xx/XXMI-Launcher 你是否曾经为管理多个游戏的模组而烦恼?每个游…...

编程日记 2026/4/9 13:17:27

终极指南:OpenTabletDriver开源数位板驱动的完整配置与深度使用

终极指南:OpenTabletDriver开源数位板驱动的完整配置与深度使用 【免费下载链接】OpenTabletDriver Open source, cross-platform, user-mode tablet driver 项目地址: https://gitcode.com/gh_mirrors/op/OpenTabletDriver 你是否曾为不同操作系统上的数位板…...

编程日记 2026/4/9 13:17:27

3个突破性功能:开源工具实现Cursor限制解除与效率提升完全指南

3个突破性功能:开源工具实现Cursor限制解除与效率提升完全指南 【免费下载链接】go-cursor-help 解决Cursor在免费订阅期间出现以下提示的问题: Your request has been blocked as our system has detected suspicious activity / Youve reached your trial request…...

编程日记 2026/4/9 13:17:27

开源工具KMS_VL_ALL_AIO:Windows与Office激活完整解决方案

开源工具KMS_VL_ALL_AIO:Windows与Office激活完整解决方案 【免费下载链接】KMS_VL_ALL_AIO Smart Activation Script 项目地址: https://gitcode.com/gh_mirrors/km/KMS_VL_ALL_AIO 在数字化办公环境中,软件授权管理是每个用户和企业必须面对的基…...

编程日记 2026/4/9 13:17:27

交叉编译程序,在armv7l架构的开发板上运行

手头有块开发板,需要基于它做二次开发。 开发板是ARM架构的CPU,当前跑的Linux,内核是4.X。 想在安装在virtualbox上的Linux(安装的是kali Linux)上开发程序, 然后交叉编译后上传到开发板上。 一、确定开发板…...

编程日记 2026/4/9 13:17:27

终极指南:如何用PoeCharm中文版轻松规划你的《流放之路》角色构建

终极指南:如何用PoeCharm中文版轻松规划你的《流放之路》角色构建 【免费下载链接】PoeCharm Path of Building Chinese version 项目地址: https://gitcode.com/gh_mirrors/po/PoeCharm 还在为《流放之路》复杂的角色构建系统感到头疼吗?面对海量…...

编程日记 2026/4/9 13:15:27

2026 全新 Java 面试题汇总!!(含答案)

别再拿旧资料瞎准备了!看看我们这份联合2025-2026届成功入职头部企业的12位准大厂人,深挖近3个月一线互联网、科技公司的真实面经反馈、核心考察重点,把大厂面试官的提问逻辑、评分标准、高频考点全拆解,耗时打磨出这份「最新大厂…...

编程日记 2026/4/9 13:15:27

一个命令救命:GitHub 爆火项目 thefuck,真把我笑服了

最近刷短视频的时候,被一个终端操作狠狠戳中了笑点:你是不是也经历过这种时刻——git pul回车。报错。然后你盯着屏幕沉默两秒,默默改成:git pull再回车。……如果你每天都在终端里“手滑 → 报错 → 重输”,那这个在 …...

编程日记 2026/4/9 13:15:27

别再死磕UPF语法了!从模块划分实战聊聊Power Domain的规划思路

从实战出发:芯片设计中电源域划分的黄金法则 在数字IC设计领域,低功耗早已从加分项变成了必选项。随着工艺节点的不断缩小,静态功耗占比越来越高,单纯依靠工艺进步已经无法满足现代芯片对功耗的苛刻要求。电源域划分作为低功耗设计…...

编程日记 2026/4/9 13:15:27

G-Helper:华硕笔记本性能调校的终极轻量解决方案

G-Helper:华硕笔记本性能调校的终极轻量解决方案 【免费下载链接】g-helper Lightweight, open-source control tool for ASUS laptops and ROG Ally. Manage performance modes, fans, GPU, battery, and RGB lighting across Zephyrus, Flow, TUF, Strix, Scar, a…...

编程日记 2026/4/9 13:15:25

GetQzonehistory终极指南:如何一键备份QQ空间历史说说

GetQzonehistory终极指南:如何一键备份QQ空间历史说说 【免费下载链接】GetQzonehistory 获取QQ空间发布的历史说说 项目地址: https://gitcode.com/GitHub_Trending/ge/GetQzonehistory 你是否担心QQ空间里的珍贵回忆会随着时间流逝而消失?GetQz…...

编程日记 2026/4/9 13:13:21

Python原生AOT不是未来,是现在:某云厂商已将Django API服务AOT化,冷启动从1.8s→47ms,QPS提升4.3倍(完整CI/CD流水线配置)

第一章:Python原生AOT编译的演进逻辑与2026技术定位Python长期以来以解释执行和字节码(.pyc)为默认运行范式,其动态性与开发效率广受青睐,但启动延迟、内存开销与冷启动瓶颈在云原生边缘计算与嵌入式场景中日益凸显。原…...

编程日记 2026/4/9 13:13:21

Go 内存逃逸与逃逸分析

Go 内存逃逸与逃逸分析:高效内存管理的关键 在Go语言中,内存管理是性能优化的核心之一,而内存逃逸与逃逸分析则是理解其底层机制的重要概念。简单来说,内存逃逸是指本应在栈上分配的变量,由于某些原因被分配到了堆上&…...

编程日记 2026/4/9 13:13:21

轻量级跨平台安卓应用安装解决方案:APK-Installer高效实施指南

轻量级跨平台安卓应用安装解决方案:APK-Installer高效实施指南 【免费下载链接】APK-Installer An Android Application Installer for Windows 项目地址: https://gitcode.com/GitHub_Trending/ap/APK-Installer 在Windows环境中运行安卓应用长期面临资源占…...

编程日记 2026/4/9 13:13:21

云南咖啡豆评分数据分析与可视化计算机毕设

博主介绍:✌ 专注于VUE,小程序,安卓,Java,python,物联网专业,有18年开发经验,长年从事毕业指导,项目实战✌选取一个适合的毕业设计题目很重要。✌关注✌私信我✌具体的问题,我会尽力帮助你。目录…...

编程日记 2026/4/9 13:13:20

小白友好!Qwen2.5-7B-Instruct本地部署,实时参数调节实战

小白友好!Qwen2.5-7B-Instruct本地部署,实时参数调节实战 1. 为什么选择Qwen2.5-7B-Instruct Qwen2.5-7B-Instruct是阿里通义千问团队推出的旗舰级大语言模型,相比轻量级的1.5B/3B版本,7B参数规模带来了质的飞跃。这个模型在18T…...

编程日记 2026/4/9 13:11:20

【OpenClaw】通过 Nanobot 源码学习架构---()总体赣

核心摘要:这篇文章能帮你 ?? 1. 彻底搞懂条件分支与循环的适用场景,告别选择困难。 ?? 2. 掌握遍历DOM集合修改属性的标准姿势与性能窍门。 ?? 3. 识别流程控制中的常见“坑”,并学会如何优雅地绕过去。 ?? 主要内容脉络 ?? 一、痛…...

编程日记 2026/4/9 13:11:20

告别嘈杂录音:用ClearerVoice-Studio一键清除背景噪音实战教程

告别嘈杂录音:用ClearerVoice-Studio一键清除背景噪音实战教程 1. 为什么你需要专业的语音降噪工具 在远程会议、线上课程、播客录制等场景中,背景噪音是影响语音质量的常见问题。传统音频编辑软件如Audacity虽然功能强大,但操作复杂&#…...

编程日记 2026/4/9 13:11:20

OpenClaw调试技巧:Gemma-3-12b-it任务失败时的7种诊断方法

OpenClaw调试技巧:Gemma-3-12b-it任务失败时的7种诊断方法 1. 为什么需要系统化的调试方法 上周我让OpenClaw配合Gemma-3-12b-it模型自动整理项目文档时,遇到了一个诡异现象:任务开始时运行正常,但在处理到第三个Markdown文件时…...

编程日记 2026/4/9 13:11:20

Fish Speech 1.5企业应用:会议纪要自动转语音播报方案

Fish Speech 1.5企业应用:会议纪要自动转语音播报方案 1. 企业会议纪要处理的痛点与解决方案 在日常企业运营中,会议纪要的整理和传达往往面临三大挑战: 效率瓶颈:人工整理会议录音平均耗时1-2小时/场,关键信息传递…...

编程日记 2026/4/9 13:11:20

解密OpenStego:重新定义信息隐藏的颠覆性方案

解密OpenStego:重新定义信息隐藏的颠覆性方案 【免费下载链接】openstego OpenStego is a steganography application that provides two functionalities: a) Data Hiding: It can hide any data within an image file. b) Watermarking: Watermarking image files…...

编程日记 2026/4/9 13:09:20

强力解锁:Browsershot - PHP开发者必备的网页截图与PDF生成神器

强力解锁:Browsershot - PHP开发者必备的网页截图与PDF生成神器 【免费下载链接】browsershot Convert HTML to an image, PDF or string 项目地址: https://gitcode.com/gh_mirrors/br/browsershot 在现代Web开发中,网页内容的可视化呈现和文档生…...

编程日记 2026/4/9 13:09:20