我在本地HBuilderX中进行预览写好的前端网页,它里面用了ajax访问了远程服务器的后端API网址,不出意外地报不允许跨域访问的错了:Access to XMLHttpRequest at ‘http://xxx.com/MemberUser/login’ from origin ‘http://mh.com’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.
因为我后端用的是PHP,查了一下网上的资料,说是可以直接使用header输出Access-Control-Allow-Origin:*就行。但我加上后,发现浏览器中仍然没有这个header属性!但我用ApiFox来访问它,却是有这个属性!
因为我用的是nginx做反向代理到Apache+PHP-FPM服务器,所以我就在nginx配置文件中又明确增加这个header输出。好家伙,这下用ApiFox来访问它,直接有了两条一样的Access-Control-Allow-Origin:*。用浏览器也有了正常的一条。这我就奇怪了,上面这个现象说明nginx是没有过滤掉这个header的,应该是浏览器过滤掉了php输出的header,但它为什么又没有过滤掉nginx输出的这个header呢? 我想来想去,可能是因为用的PHP框架中我没办法把这个header输出到网页内容的头部区?
在NginX中增加了header输出,虽然解决了跨域的报错,但还出来一个新问题,就是用$.post()访问的时候后端ThinkPHP检测它又变成了非AJAX方式了!经过调试,发现原来是JQuery的$.post()也有跨域的问题,它会自动把跨域的访问去掉X-Requested-With:XMLHttpRequest这个header,导致服务器不再认可它是AJAX访问!
