Nginx默认将OPTIONS请求按负载均衡策略转发至后端;若未显式拦截,不同预检请求可能分发到不同节点,导致CORS响应不一致而跨域失败。
在 Nginx 负载均衡环境中,OPTIONS 预检请求的分发逻辑取决于它是否被显式拦截处理。默认情况下,Nginx 不会特殊对待 OPTIONS 请求,而是像普通请求一样,按 upstream 的负载均衡策略(如轮询、ip_hash、least_conn 等)转发给后端节点。但实际行为常被 location 匹配、add_header、return 指令或 CORS 相关配置改变,导致预检请求未真实到达上游,或被不一致地处理。
默认行为:按常规规则转发到 upstream
若配置中没有针对 OPTIONS 方法做任何干预,Nginx 会:
- 正常匹配 server → location → upstream
- 根据所选负载均衡算法(如默认轮询),将该 OPTIONS 请求分发给某台后端服务器
- 后端服务需自行响应 204 或 200,并携带正确的 Access-Control-Allow-* 头
⚠️ 注意:此时不同 OPTIONS 请求可能落到不同后端,若各后端 CORS 响应头不一致(比如允许的 origin、methods 不同),浏览器会因预检失败而拒绝后续实际请求。
常见干预方式及其对分发的影响
多数生产环境会主动处理 OPTIONS 预检,以统一响应、减少后端压力。关键点在于干预发生的阶段:
- 在 location 中用 if ($request_method = OPTIONS) { ... }:匹配成功后执行内部逻辑(如 return 204),请求不再进入 proxy_pass,也就不会触发 upstream 分发
- 用 add_header + return 204 在 server 或 location 块中:只要匹配到该块且未被更具体的 location 覆盖,就直接响应,不转发
- 使用 satisfy / auth_request 等模块逻辑:可能提前终止流程,跳过代理环节
✅ 推荐做法:在最外层 location(如 /)中明确拦截 OPTIONS,并统一返回标准 CORS 预检响应,避免依赖后端一致性。
跨域场景下与 upstream 分发的协同要点
当必须由后端处理 OPTIONS(例如需动态校验 origin 或 token),则需确保:
- 所有 upstream 节点对同一 OPTIONS 请求返回完全一致的 CORS 响应头(尤其 Access-Control-Allow-Origin、Methods、Headers)
- 避免使用 ip_hash 以外的算法导致同一浏览器的预检和主请求落到不同节点(主请求若没收到匹配的预检响应,仍会失败)
- 考虑在 Nginx 层缓存 OPTIONS 响应(proxy_cache),减少重复请求对后端的压力
? 小技巧:可通过 $http_origin 变量在日志中记录预检来源,辅助排查跨域问题是否源于分发不均。
验证与调试建议
快速确认当前行为的方法:
- curl -X OPTIONS -H "Origin: https://a.com" -H "Access-Control-Request-Method: POST" -I http://your-domain/api/
- 检查响应状态码、Access-Control-Allow-* 头,以及响应头中的 Server 或 X-Upstream(如有自定义)判断是否经过 upstream
- 开启 Nginx error_log debug 级别,搜索 "upstream:" 或 "http finalize request" 相关日志行
若看到 upstream 名称出现在日志中,说明该 OPTIONS 请求确实被转发;若无,则大概率被本地拦截响应。
