使用 Amazon S3 和 Cloudfront 的 CORS
Posted
技术标签:
【中文标题】使用 Amazon S3 和 Cloudfront 的 CORS【英文标题】:CORS with Amazon S3 and Cloudfront 【发布时间】:2014-09-29 16:28:36 【问题描述】:我有一个托管在 Heroku 上的 Rails 应用程序,它使用 CloudFront 和托管在 S3 上的资产。
它完美地显示了资产(尽管它需要一些努力)。
我对 Cloudfront 的设置:
Forward Headers: Whitelist
Whitelist Headers: Origin
Forward Query Strings: No
S3 存储桶的 CORS 设置:
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>HEAD</AllowedMethod>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
调用图片的JS(咖啡)
@mousemove (e) ->
ctx = $("<canvas>").attr(
width: @width
height: @height
)[0].getContext("2d")
ctx.drawImage(this, 0, 0, @width, @height)
# This is because firefox doesn't support offset[X|Y]
if(e.offsetX == undefined)
xpos = e.pageX - $(this).offset().left;
ypos = e.pageY - $(this).offset().top;
else
xpos = e.offsetX;
ypos = e.offsetY;
e.rgb = ctx.getImageData(xpos, ypos, 1, 1).data
return f.call this, e
此错误:
Uncaught SecurityError: Failed to execute 'getImageData' on 'CanvasRenderingContext2D': The canvas has been tainted by cross-origin data.
卷曲请求:
curl -i -H "Origin: http://example.com/" http://randomness.cloudfront.net/franchisees/logos/000/000/006/icon/Screen_Shot_2014-08-06_at_15.21.14.png?1407334881
Response:
HTTP/1.1 200 OK
Content-Type: image/png
Content-Length: 6888
Connection: keep-alive
Date: Wed, 06 Aug 2014 16:15:54 GMT
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, HEAD
Last-Modified: Wed, 06 Aug 2014 14:21:23 GMT
ETag: "6f266467cf0a570526869bcf280da412"
Accept-Ranges: bytes
Server: AmazonS3
Age: 21
Vary: Origin
X-Cache: Hit from cloudfront
Via: 1.1 16d4ae36524b457e558b982004526450.cloudfront.net (CloudFront)
X-Amz-Cf-Id: 5Vm_eCn_lTOHEMzPEcmtCGYCUdOZ2r_9R4W6mEPTOPFUIJe0ilMP7g==
*snip*
这不是缓存问题,尽管此请求是在缓存版本上,但我每次都使用新图像。
我知道有一些变通方法,但我真的希望它以这种方式工作。
我在这里错过了什么?
【问题讨论】:
图片从何而来(即如何加载)? 【参考方案1】:问题在于默认情况下浏览器不会检查这些 cors 标头 - 拉入的所有图像都是脏的。为了让您的 cors 标头执行任何操作,您需要在 img 上设置 crossorigin 属性,以便获得 cors enabled image。
<img src="blah" crossorigin="anonymous" />
crossorigin 属性可以取值anonymous 或use-credentials。这类似于发出跨域 ajax 请求时的 withCredentials 选项:默认情况下不会发送 cookie、http auth 等。如果您在 javascript 中创建图像,则相应的属性是 crossOrigin。
根据MDN documentation Chrome,Firefox 和 IE 11 支持此功能,但已发布的 Opera 或 Safari 版本不支持
【讨论】:
以上是关于使用 Amazon S3 和 Cloudfront 的 CORS的主要内容,如果未能解决你的问题,请参考以下文章
通过 S3 从 Amazon CloudFront 提供 gzip 后的 CSS 和 JavaScript