个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我的应用程序显示存储在 中的图像AWS S3 (出于安全原因,在私有(private)存储桶中)。
为了让用户从他们的浏览器中看到图像,我生成了 签名 URL 喜欢 https://s3.eu-central-1.amazonaws.com/my.bucket/stuff/images/image.png?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=...&X-Amz-Date=20170701T195504Z&X-Amz-Expires=900&X-Amz-Signature=bbe277...3358e8&X-Amz-SignedHeaders=host .
这与 <img src="S3URL" /> 完美配合: 图像显示正确。
我什至可以通过复制/粘贴 URL 直接在另一个选项卡中查看图像。
我还生成了嵌入这些图像的 PDF,这些图像需要使用 canvas 进行转换。 : 调整大小和水印。
但是我用来调整大小的库有一些问题:
Failed to execute 'getImageData' on 'CanvasRenderingContext2D':
The canvas has been tainted by cross-origin data.
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<AllowedMethod>PUT</AllowedMethod>
<MaxAgeSeconds>3000</MaxAgeSeconds>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
img.crossOrigin = ""或
img.crossOrigin = "Anonymous"在客户端,但后来我得到:
Access to Image at 'https://s3.eu-central-1.amazonaws.com/...'
from origin 'http://localhost:5000' has been blocked by CORS policy:
No 'Access-Control-Allow-Origin' header is present on the requested resource.
Origin 'http://localhost:5000' is therefore not allowed access.
最佳答案
这里的一种解决方法是防止浏览器缓存下载的对象。这似乎源于 S3 与 Chrome 处理缓存对象的方式交互的部分可以说是不正确的行为。我最近回答 a similar question on Server Fault ,您可以在那里找到更多详细信息。
当您从简单的 HTML(如 <img> 标签)中从 S3 获取一个对象,然后在跨域上下文中再次获取相同的对象时,问题似乎出现了。
Chrome 缓存第一个请求的结果,然后使用缓存的响应而不是第二次发出新请求。当它检查缓存对象时,没有 Access-Control-Allow-Origin header ,因为它是从不受 CORS 规则约束的请求中缓存的......所以当第一个请求发出时,浏览器没有发送 Origin标题。因此,S3 没有回复 Access-Control-Allow-Origin header (或任何与 CORS 相关的 header )。
问题的根源似乎与 HTTP Vary: 有关。响应头,与缓存相关。
Web 服务器(在本例中为 S3)可以使用 Vary:响应 header 向浏览器发出信号,表明服务器能够生成不止一种返回对象的表示——以及浏览器是否会变化 请求的一个属性,响应 可能不同。当浏览器考虑使用缓存对象时,它应该检查该对象在新上下文中是否有效,然后才能得出缓存对象适合当前需求的结论。
确实,当您发送 Origin 时向 S3 发送请求 header ,您会得到包含 Vary: Origin 的响应.这告诉浏览器如果请求中发送的来源是不同的值,响应也可能不同——例如,因为并非所有来源都被允许。
潜在问题的第一部分是 S3 —— 可以说 —— 应该 总是 返回 Vary: Origin每当在存储桶上配置 CORS 时,即使浏览器没有发送原始 header ,因为 Vary可以针对您实际上并未包含在请求中的 header 指定,以告诉您如果包含它,响应可能会有所不同。但是,它不会那样做,当 Origin不存在。
问题的第二部分是 Chrome——当它查询它的内部缓存时——看到它已经有一个对象的副本。为缓存设定种子的响应不包括 Vary ,因此 Chrome 假定此对象对于 CORS 请求也完全有效。显然,事实并非如此,因为当 Chrome 尝试使用该对象时,它会发现缺少跨域响应 header 。据推测,Chrome 是否收到了 Vary: Origin S3 对原始请求的响应,它会意识到它的第二个请求的临时请求 header 包含 Origin: ,所以它会正确地去获取对象的不同副本。如果这样做,问题就会消失——正如我们通过设置 Cache-Control: no-cache 所说明的那样。在对象上,防止 Chrome 缓存它。但是,它没有。
因此,我们通过设置 Cache-Control: no-cache 来解决这个问题。在 S3 中的对象上,这样 Chrome 就不会缓存第一个,而是为第二个发出正确的 CORS 请求,而不是尝试使用缓存的副本,这会失败。
请注意,如果您想避免更新 S3 中的对象以包含 Cache-Control: no-cache响应,还有另一个选项可以解决此问题,而无需实际将 header 添加到 S3 中的静止对象。其实还有两个选择:
S3 API 尊重在 response-cache-control=no-cache 的查询字符串中传递的值。 .将此添加到签名 URL 将指示 S3 将 header 添加到响应中,而不管 Cache-Control与对象一起存储的元数据值(或缺少对象)。您不能简单地将其附加到查询字符串中——您必须将其添加为 URL 签名过程的一部分。但是一旦你将它添加到你的代码中,你的对象将返回 Cache-Control: no-cache在响应头中。
或者,如果您可以在呈现页面时为同一对象分别生成这两个签名 URL,只需更改一个签名 URL 相对于另一个的过期时间。让它多一分钟,或者类似的东西。将过期时间从一个更改为另一个将强制两个签名的 URL 不同,具有两个不同查询字符串的两个不同对象应该被 Chrome 解释为两个单独的对象,这也应该消除第一个缓存对象的错误使用为另一个请求服务。
关于image - Canvas 被 CORS 数据和 S3 污染,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44865121/
24
4
0
这个问题在这里已经有了答案: Why don't Java's +=, -=, *=, /= compound assignment operators require casting? (11 个
我搜索了很多,但没有一个链接能帮助我解决这个问题。我得到了 ORA-21500: internal error code, arguments: [%s], [%s], [%s], [%s], [%s
我正在做 RegexOne 正则表达式教程,它有一个 question关于编写正则表达式以删除不必要的空格。 教程中提供的解决方案是 We can just skip all the starting
([\s\S]+|\s?) 中 |\s? 的目的或作用是什么?如果没有它,表达式会不会与 ([\s\S]+) 相同? 最佳答案 这不是完全相同的。 ([\s\S]+|\s?) 会匹配空字符串,而 ([
这个正则表达式有一组还是两组? 我正在尝试使用第二组访问 bookTitle 但出现错误: Pattern pattern = Pattern.compile("^\\s*(.*?)\\s+-\\s+
在 C 中给定一个字符串指针 s,下面的迭代会做什么?即它以什么方式遍历字符串? for (++s ; *s; ++s); 最佳答案 for (++s ; *s;++s) 表示 将指针 s 递增到字符
我正在用一个 node.js 应用程序解析一个大列表并有这段代码 sizeCode = dbfr.CN_DESC.split('\s+-\s*|\s*-\s+') 这似乎不起作用,因为它返回了 [ '
我正在编写一个简单的字符串连接程序。 该程序按照我发布的方式运行。但是,我首先使用以下代码编写它来查找字符串的结尾: while (*s++) ; 但是,这个方法并没有奏效。我传递给它的字符串
这个问题已经有答案了: What does (?和aramchand来自Mohandas Karamchand G 因此,在使用这些匹配来分割字符串后,您最终会得到 {"M", "K", "G"} 注
我正在尝试转换 Map到 List使用 lambda。 本质上,我想将键和值与 '=' 连接起来之间。这看起来微不足道,但我找不到如何去做。 例如 Map map = new HashMap<>();
我正在经历 K & R,并且在递增指针时遇到困难。练习 5.3(第 107 页)要求您使用指针编写一个 strcat 函数。 在伪代码中,该函数执行以下操作: 将 2 个字符串作为输入。 找到字符串
在下面的代码中,pS 和 s.pS 在最后一行是否保证相等?也就是说,在语句S s = S();中,是否可以确定不会构造一个临时的S? #include using namespace std; s
演示示例代码: public void ReverseString(char[] s) { for(int i = 0, j = s.Length-1; i < j; i++, j--){
我一直在寻找类似于 .NET examples 中的示例的 PowerShell 脚本.取一个 New-TimeSpan 并显示为 1 天 2 小时 3 分钟 4 秒。排除其零的地方,在需要的地方添加
def func(s): s = s + " is corrected" return s string_list = ["She", "He"] for s in string_li
我是 python 的新手。当我在互联网上搜索 lambda 时。我在 lambda_functions 中找到了这个声明. processFunc = collapse and (lambda s:
我最近开始学习正则表达式,并试图为上面的问题写一个正则表达式。如果限制只放在一个字母上(例如不超过 2 个“b”),这并不困难。 那么答案就是:a* c*(b|ε)a* c*(b|ε)a* c* 但是
当我运行 npm install 时出现以下错误,但我无法修复它。 我试过:npm install -g windows-build-tools 也没有修复这个错误 ERR! configure
有很多有趣的haskell网上可以找到片段。 This post可以在 this (awesome) Stack Overflow question 下找到. The author写道: discou
我知道以下三行代码旨在将字符串提取到$ value中并将其存储在$ header中。但是我不知道$value =~ s/^\s+//;和$value =~ s/\s+$//;之间有什么区别。 $val
我是一名优秀的程序员,十分优秀!