CORS的中文名是跨域资源共享,是HTML5提供的标准跨域解决方案。跨域访问,也叫JavaScript跨域访问问题,是浏览器出于安全考虑而设置的一个限制,即同源策略。当来自于A网站的页面中的JavaScript代码希望访问B网站的时候,浏览器会拒绝该访问,因为A、B两个网站是属于不同的域。此处跨域大家可以先简单理解为A、B两个网站域名不同而存在跨域问题。
CORS的主要使用场景:CORS的使用一定是在浏览器情况下,因为控制访问权的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何跨域问题。下面我们通过实例给大家演示一下跨域。
之前我们已经在服务器上搭建外部环境,并创建网站绑定了这个域名“test1.pier39.cn”后面的/get_object_from_OSS.html是我们在空间中上传了一个测试文件。在浏览器中访问这个地址。打开浏览器后先点击一下F12调出浏览器调试工具,然后粘贴一下访问地址,点击访问。
我们先来看一下程序的源代码。
这个程序就是通过GET的方法调取这个OSS bucket下的a.jpg图片。
点击一下GET,可以看到,在获取了a.jpg这个图片的时候,显示的状态码是403,获取不到了。
浏览器默认是拒绝这种跨域行为的,所以这个图片现在获取不到。针对此跨域问题OSS中有一个CORS的设置可以解决此问题。
下面我们在控制台中设置一下CORS后再访问看一下。
登录控制台,并进入bucket,找一个bucket之后点击bucket属性,右侧可以看到这个Cors设置。
点击Cors设置→添加规则。
来源这里需要填网站访问的域名;Method的选择的是GET;Alowed Header填写*,这样设置就可以了。点击确定。
现在Cors规则已添加,这时我们再来访问一下之前的这个站点,点击GET。
可以看到,此时这个a.jpg图片就可以获取到了,状态码已经是正常的200了。看一下它的Headers。
可以看到此时这个是允许被获取的,是由于我们已经在OSS台控制设置里面把http://test1.pier39.cn这个域名加上了。方法这里由于我们只写了GET,所以就是GET。此时通过OSS控制台Cors的设置里面,我们就可以解决这种跨域的问题。
我们现在就设置时看见的五个参数做一个解释:
来源:配置的时候是要带上完整的域信息,比如示例中就是http://test1.pier39.cn,注意不要遗漏了协议头(如http),如果端口号不是默认的,还要带上端口号(后面加上:端口号)。如果您不能确定,可以使用通配符*,通配符*代表所有来源都可以。
Method:按需求开通对应的方法即可。我们示例中只用了一个GET的方法,也可以全部都勾选,或者根据你的实际情况选择方式。
Allow Header:允许通过的Header列表,因为这里比较容易遗漏Header,因此建议在没有特殊要求的情况下设置为*。此处大小写不敏感。
Expose Header:暴露给浏览器的Header列表,一般来说都不应该暴露这些信息,这里可以不填。如果有特殊需求可以单独指定,此处的大小写也是不敏感的。
缓存时间:如果没有特殊情况,可以酌情设置的大一点,比如60s。
Expose Header和缓存时间也可以不填,我们在测试的时候就没有填写,最终也是可以的。大家可以根据自己实际情况来判断是否要填写。
以上就是Cors设置的全部内容。
