Я настраиваю NGINX Reverse Proxy
.
В браузере я иду по адресу:
URL-адрес клиента: https://www.hollywood.com
Затем указанная выше веб-страница должна выполнять запросы к:
URL-адресу сервера: https://server.hollywood.com/api/auth/login
Это конфигурация, соответствующая: server.hollywood.com
:
server {
listen 443 ssl;
server_name server.hollywood.com;
# add_header 'Access-Control-Allow-Origin' "https://www.hollywood.com" always;
add_header 'Access-Control-Allow-Credentials' 'true' always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'Accept,Authorization,Cache-Control,Content-Type,DNT,If-Modified-Since,Keep-Alive,Origin,User-Agent,X-Requested-With' always;
ssl_certificate ../ssl/lets-encrypt/hollywood.com.crt;
ssl_certificate_key ../ssl/lets-encrypt/hollywood.com.key;
location /
{
proxy_pass http://localhost:9201;
include "../proxy_params.conf";
}
}
Эксперимент 1:
С закомментированной строкой Access-Control-Allow-Origin
при доступе к:
URL-адрес клиента: https://www.hollywood.com
Я получаю следующую ошибку в консоли браузера (в моем случае Chrome):
POST https://server.hollywood.com/api/auth/login/local 502 (Bad Gateway)
(index):1 Failed to load https://server.hollywood.com/api/auth/login/local: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'https://www.hollywood.com' is therefore not allowed access. The response had HTTP status code 502.
Эксперимент 2:
Если я включу строку Access-Control-Allow-Origin
выше, я попаду в терминал браузера:
Failed to load https://server.hollywood.com/api/auth/login/local: Response to preflight request doesn't pass access control check: The 'Access-Control-Allow-Origin' header contains multiple values '*, https://www.hollywood.com', but only one is allowed. Origin 'https://www.hollywood.com' is therefore not allowed access.
Я не знаю, почему несколько, если раньше этого заголовка не было ???
Эксперимент 3:
С другой стороны, если я перейду прямо в браузере на:
URL-адрес сервера: https://server.hollywood.com/api/auth/login с закомментированной строкой Access-Control-Allow-Origin
я получаю следующее (в разделе Network):
Response Headers:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Accept,Authorization,Cache-Control,Content-Type,DNT,If-Modified-Since,Keep-Alive,Origin,User-Agent,X-Requested-With
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin: *
Connection: keep-alive
Content-Length: 139
Content-Security-Policy: default-src 'self'
Content-Type: text/html; charset=utf-8
Date: Sat, 09 Jun 2018 06:34:00 GMT
Server: nginx/1.13.12
X-Content-Type-Options: nosniff
До того, как я получил: «На запрошенном ресурсе нет заголовка« Access-Control-Allow-Origin »». но теперь я вижу выше, что это поле находится в заголовках ответов.
Эксперимент 4:
Если я снова включу строку Access-Control-Allow-Origin
выше, я получу следующее (в разделе «Сеть»):
Response Headers:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Accept,Authorization,Cache-Control,Content-Type,DNT,If-Modified-Since,Keep-Alive,Origin,User-Agent,X-Requested-With
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin: https://www.hollywood.com
Access-Control-Allow-Origin: *
Connection: keep-alive
Content-Length: 139
Content-Security-Policy: default-src 'self'
Content-Type: text/html; charset=utf-8
Date: Sat, 09 Jun 2018 06:34:58 GMT
Server: nginx/1.13.12
X-Content-Type-Options: nosniff
Теперь я получаю в два раза больше поля: Access-Control-Allow-Origin
.
У вас есть какие-либо идеи, почему мои первые 2 эксперимента не дают ошибок относительно: Access-Control-Allow-Origin
?
Спасибо!