在已部署的应用程序上播放来自 s3 的文件时的跨源资源策略问题
Posted
技术标签:
【中文标题】在已部署的应用程序上播放来自 s3 的文件时的跨源资源策略问题【英文标题】:cross origin resource policy issue when playing files from s3 on deployed app 【发布时间】:2021-10-06 00:37:40 【问题描述】:我在 Heroku 上部署了一个应用程序,允许我播放音频文件。你可以在这里查看https://telecurve.herokuapp.com/manage。在我在 Heroku 中播放文件没有问题之前,但在我修改了我的 server.js 文件(我的应用程序是一个使用内置的 Create React 应用程序部署的 Express 应用程序)之后,我收到了这个错误。您可以尝试播放音频文件并查看响应。但是,我仍然可以使用下载按钮从 s3 下载文件并且没有问题。
以下是一些相关代码:
server.js
require('rootpath')();
const path = require('path');
const express = require('express');
const app = express();
const bodyParser = require('body-parser');
const cookieParser = require('cookie-parser');
const cors = require('cors');
app.use(bodyParser.urlencoded( extended: false ));
app.use(bodyParser.json());
app.use(cookieParser());
// Have Node serve the files for our built React app
app.use(express.static(path.resolve(__dirname, 'build')));
// allow cors requests from any origin and with credentials
app.use(cors( origin: (origin, callback) => callback(null, true), credentials: true ));
//change added that caused issues with the playing mechanism. Needed these headers for another
app.use(function(req, res, next)
res.header("Cross-Origin-Embedder-Policy", "require-corp");
res.header("Cross-Origin-Opener-Policy", "same-origin");
next();
);
// file api routes
app.use('/accounts', require('./accounts/accounts.controller'));
// All other GET requests not handled before will return our React app
app.get('*', (req, res) =>
res.sendFile(path.resolve(__dirname, 'build', 'index.html'));
);
app.get('/app', async (req, res) =>
res.sendFile(path.join(__dirname, 'public/index.html'));
);
// does work, cors headers in response as expected
// start server
const port = process.env.PORT || 2000;
app.listen(port, () => console.log('Server listening on port ' + port));
这是我添加的 server.js 中的特殊更改:
//change added that caused issues with the playing mechanism. Needed these headers for another
app.use(function(req, res, next)
res.header("Cross-Origin-Embedder-Policy", "require-corp");
res.header("Cross-Origin-Opener-Policy", "same-origin");
next();
);
也许我需要为 s3 添加额外的标头?
我最近也删除了这段代码:
app.use(function(req, res, next)
res.header("Access-Control-Allow-Origin", "*");
res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
next();
);
这是我在后端用于生成播放/下载网址的预签名方法:
const customer_id = data['customer-id'];
const sound_id = data['sound-id'];
return new Promise((resolve, reject) =>
//get presigned url
var myBucket = process.env.NODE_APP_BUCKET_NAME;
var myKey = "sounds/" + customer_id + "/" + sound_id + ".wav";
const signedUrlExpireSeconds = 120;
try
const url = s3.getSignedUrl('getObject',
Bucket: myBucket,
Key: myKey,
ResponseContentDisposition: 'attachment',
Expires: signedUrlExpireSeconds
);
resolve(url)
catch
console.log('S3 Object does not exist');
resolve('');
);
然后我使用这个 url,用var audio = new Audio(url) 创建一个新的音频对象并播放它。
如果您发现任何问题或我遗漏了什么,请告诉我。
【问题讨论】:
【参考方案1】:您似乎直接使用指向您在 S3 上的音频文件的 URL,这意味着:
您的音频(在您的网页看来)是一个跨域资源。将Cross-Origin-Embedder-Policy 设置为require-corp 时,需要将crossorigin 属性添加到您的<audio/>(包括Audio 对象)。
您的存储桶可能需要配置其 CORS 以允许您的站点访问它,如 in this other question 所述。 AWS documentation 解释了如何配置它。
当我写这篇文章时,你的应用程序已关闭,所以我实际上无法验证它是由 S3 跨域资源引起的,但根据你的问题,这是最有可能的问题。 p>
【讨论】:
以上是关于在已部署的应用程序上播放来自 s3 的文件时的跨源资源策略问题的主要内容,如果未能解决你的问题,请参考以下文章