CORS 问题即使有原产地政策

【问题标题】:CORS issue even with origin policiesCORS 问题即使有原产地政策
【发布时间】:2017-10-05 09:48:59
【问题描述】:

我在自定义域后面的 AWS Cloudfront 上托管了一些字体。
我将此作为 s3 CORS 政策 

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*.dabster.io</AllowedOrigin>
        <AllowedOrigin>dabster.io</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>HEAD</AllowedMethod>
        <MaxAgeSeconds>3000</MaxAgeSeconds>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

关于 Cloudfront Behaviors 我有以下设置

  • 查看器协议策略:HTTP 和 HTTPS
  • 允许的 HTTP 方法:GET、HEAD、OPTIONS
  • 转发标头:白名单
    • 访问控制请求标头
    • 访问控制请求方法
    • 原产地

我得到的错误是

在以下位置访问字体 'https://cdn.dabster.io/assets/fonts/fontawesome-webfont.ttf?v=4.7.0' 来自原点“https://dabster.io”已被 CORS 策略阻止:否 请求中存在“Access-Control-Allow-Origin”标头 资源。因此,不允许访问 Origin 'https://dabster.io'。

您可以在https://dabster.iohttps://www.dabster.io 看到错误

curl -I -s -X GET -H "Origin: dabster.io" https://cdn.dabster.io/assets/fonts/fontawesome-webfont.ttf\?v\=4.7.0                                 

HTTP/1.1 200 OK
Content-Type: application/octet-stream
Content-Length: 165548
Connection: keep-alive
Date: Sun, 07 May 2017 09:26:57 GMT
Access-Control-Allow-Origin: dabster.io
Access-Control-Allow-Methods: GET, HEAD
Access-Control-Max-Age: 3000
Access-Control-Allow-Credentials: true
Last-Modified: Fri, 05 May 2017 14:04:16 GMT
ETag: "b06871f281fee6b241d60582ae9369b9"
Accept-Ranges: bytes
Server: AmazonS3
Vary: Origin,Access-Control-Request-Headers,Access-Control-Request-Method
X-Cache: Miss from cloudfront
Via: 1.1 d674762e43fd40650eec6e201e4316a2.cloudfront.net (CloudFront)
X-Amz-Cf-Id: JYxW4fs2Ijgt_wEnl-DQ6Yqz_qPYbwaWZSZyRjrnKQ_yje__n3skkA==

我也在响应中获取标题。 请对此有所了解

【问题讨论】:

    标签: amazon-web-services amazon-s3 cors amazon-cloudfront


    【解决方案1】:

    原始值必须包含协议部分——https://http://。所以你需要这样做:

    <AllowedOrigin>https://dabster.io</AllowedOrigin>

    curl 测试有效的原因是您发送的 Origin 标头没有协议部分。

    但是浏览器会发送带有协议部分的Origin 标头;例如,Origin: https://dabster.io

    因此,由于您当前已配置好东西,如果您包含协议,您的 curl 测试也会失败:

    curl -I -s -X GET -H "Origin: https://dabster.io" \
  https://cdn.dabster.io/assets/fonts/fontawesome-webfont.ttf\?v\=4.7.0

    【讨论】:

    • 好的,让我试试看它是否有效,我会相应地更新
    • 我已经进行了更改并使云端缓存无效,但对于 curl 它也适用于协议。
    • 如果您更改了&lt;AllowedOrigin&gt;https://dabster.io&lt;/AllowedOrigin&gt; 配置,那么如果您指定协议,则预计 curl 测试现在可以工作。但是您的浏览器开发工具控制台中是否仍然出现“没有 'Access-Control-Allow-Origin' 标头存在”错误?还是您的网络应用程序现在能够按预期获取字体?
    猜你喜欢
    • 2020-12-23
    • 2020-01-15
    • 2021-06-24
    • 1970-01-01
    • 2021-12-07
    • 2020-07-28
    • 2022-01-20
    • 2020-03-30
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode