漏洞名称：

跨源资源共享不安全配置漏洞

风险等级：

中

详细描述：

跨源资源共享（CORS）是一种机制，允许不同源之间的Web资源相互交互。在CORS不安全配置漏洞中，Web应用的服务器被误配置为允许来自任何来源的请求访问资源，或者错误地暴露敏感数据给不受信任的外部源。

解决办法：

在server块上方增加

map $http_origin $cors_origin { default ""; "http://自己的域名" $http_origin; } 

在server块中，对应端口的所有location块中增加以下配置

# 添加 CORS 头部 
if ($cors_origin) { add_header 'Access-Control-Allow-Origin' $cors_origin always; add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization' always; add_header 'Access-Control-Allow-Credentials' 'true' always; add_header 'Access-Control-Max-Age' 3600 always; }