宝塔面板跨域配置教程：Nginx设置CORS头

本文深入解析了宝塔面板下Nginx配置CORS跨域时的典型失效原因与实战解决方案：不仅指出add_header在if块内无效、预检OPTIONS请求因返回204/405状态码而缺失CORS头等核心陷阱，还明确指导用户精准修改站点专属配置文件（而非全局nginx.conf）、合理设置Access-Control-Allow-Origin与credentials的配合规则，并强调CDN或代理层吞头这一常被忽视的线上故障根源——通过curl验证响应头，比盲目修改配置更能快速定位问题，助开发者一步避开90%的跨域踩坑场景。

为什么加了 add_header 还是被浏览器拦截？

因为 Nginx 默认只对 200 状态码返回 CORS 头，而预检请求（OPTIONS）返回的是 204 或 405，头根本没发出去。浏览器一看没 Access-Control-Allow-Origin，直接拒绝后续请求。

实操建议：

• 必须在 location 块里显式处理 OPTIONS 请求，不能只靠 add_header
• 用 if ($request_method = 'OPTIONS') { ... } 拦截并返回空响应 + CORS 头
• 确保 add_header 在 server 或 location 级别，且不在 if 块内（Nginx 中 add_header 在 if 里不生效）

宝塔面板里改哪几个配置文件？

不是改全局 /www/server/nginx/conf/nginx.conf，而是改对应站点的配置文件，路径通常是：/www/server/panel/vhost/nginx/你的域名.conf。改错位置会导致重启 Nginx 后配置丢失或不生效。

实操建议：

• 在宝塔「网站」→ 选中站点 → 「设置」→ 「配置文件」里编辑，最安全
• 不要手动改 nginx.conf 主配置，除非你清楚 include 规则
• 修改后点「保存」，再点「重载配置」（不是重启 Nginx），避免服务中断

Access-Control-Allow-Origin 能不能写成 *？

可以，但仅限于不需要携带 Cookie 或认证信息的场景。一旦前端设置了 credentials: true，Nginx 就不能用通配符，必须写明确的源（如 https://a.com），否则浏览器会无视响应。

实操建议：

• 开发阶段可先用 * 快速验证流程
• 生产环境若需传 Cookie，得配合 add_header Access-Control-Allow-Credentials "true"，且 Access-Control-Allow-Origin 必须是具体域名
• 多个域名要支持？Nginx 本身不支持动态匹配，得用 map 指令提前定义白名单，否则容易漏配或误配

为什么本地测试 OK，上线就跨域失败？

常见原因是 CDN、反向代理或负载均衡层（比如腾讯云 CLB、阿里云 SLB）吞掉了 Nginx 返回的 CORS 头。它们往往默认不透传自定义响应头，或者缓存了无 CORS 头的老响应。

实操建议：

• 用 curl -I https://你的域名/api/xxx 直接看响应头，确认 Access-Control-Allow-Origin 是否真实存在
• 如果不存在，检查 CDN 控制台是否开启了「透传响应头」或「忽略缓存头部」选项
• 宝塔本身不干预响应头，但如果你开了「网站监控」或「防火墙插件」，也得确认它们没过滤或重写响应

好了，本文到此结束，带大家了解了《宝塔面板跨域配置教程：Nginx设置CORS头》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！