对象存储 COS 帮您轻松搞定跨域访问需求
背景
早期为了避免 CSRF(跨站请求伪造) 攻击,浏览器引入了 “同源策略” 机制。如果两个 URL 的协议,主机名(域名/IP),端口号一致,则视为这两个 URL “同源”,属于同一个 “域”,否则视为 “非同源”,即 “跨域”。浏览器会主动拦截跨域的 AJAX 请求,以规避安全风险。
“同源策略” 固然提升了请求的安全性,但有时我们需要跨域请求其他域名下的资源,例如在业务域名下请求 COS 的 API 接口,或者读取 COS 存储桶中文件的内容,进行一些逻辑处理。
浏览器支持一种跨域的访问验证的机制,即 CORS(Cross-Origin Resource Sharing 跨源资源共享)。该机制允许服务端通过返回特定的 HTTP 头部来告知浏览器是否拦截跨域请求。
COS 支持用户在存储桶中配置 “跨域访问 CORS” 规则,以此放行一些合法的跨域请求。
业务场景
下面我们以 博客网站开发 为例,带您了解如何在 COS 配置 CORS 规则。
用户正在开发一个博客网站,为此他将一批 markdown 文件上传到 COS,对每个 markdown 文件设置了自定义头部 x-cos-meta-keywords 表示该文章的关键词,并将文件权限设置为公有读私有写。
网站的前端 JS 脚本通过浏览器向 COS 发起 AJAX 请求,读取响应的内容以及头部信息,将内容转换为 HTML 文本,解析 x-cos-meta-keywords 中包含的关键词,分别挂载到页面对应的 DOM 节点下,其请求过程如下图所示:
用户网站的地址是 http://example.com,Markdown 文件的地址是 https://bucketname-1250000000.cos.ap-guangzhou.myqcloud.com/test.md
很显然,这是在 http://example.com 下对 https://bucketname-1250000000.cos.ap-guangzhou.myqcloud.com 发起请求,涉及跨域。
不出意外地,浏览器拦截了该请求,打开浏览器的 Console 栏可以看到如下报错:
Access to XMLHttpRequest at 'https://bucketname-1250000000.cos.ap-guangzhou.myqcloud.com/test.md'
from origin 'http://example.com' has been blocked by CORS policy:
No 'Access-Control-Allow-Origin' header is present on the requested resource.
GET https://bucketname-1250000000.cos.ap-guangzhou.myqcloud.com/test.md net::ERR_FAILED
CORS 跨域访问机制
为了解决该问题,我们需要理解浏览器的 CORS 跨域访问机制。浏览器将 CORS 请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request),只要同时满足以下两大条件,就属于 “简单请求”,否则就属于 “非简单请求”。
请求方法是以下三种方法之一:
- HEAD
- GET
- POST
HTTP 的头信息不超出以下几种字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三个值 application/x-www-form-urlencoded、multipart/form-data、text/plain
对于简单请求,浏览器会在请求时携带 Origin 头部,声明该请求来自哪个 “域”,服务端通过 Access-Control-Allow-Origin 和Access-Control-Allow-Methods 响应头来告知浏览器允许的 “域” 和 “HTTP 动词”。
对于非简单请求,浏览器会在实际请求前发起一次 “预检请求(preflight request)”,用于询问服务端是否允许跨域,如果不允许,则不发起实际请求。
预检请求使用 OPTIONS 动词,并携带 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 请求头部,来声明 “当前的域”、“实际请求使用的 HTTP 动词” 和 “实际请求将携带的头部” 等信息。
服务端通过 Access-Control-Allow-Origin、 Access-Control-Allow-Methods 、Access-Control-Allow-Headers、Access-Control-Allow-Credentials 响应头来告知浏览器 “允许的域”、“允许的所有 HTTP 动词”、“允许携带的所有 HTTP 头部” 以及 “是否允许携带鉴权信息(Cookie,Authorization 头部等)”。
同时,为了避免频繁发起跨域检测,服务端会返回 Access-Control-Max-Age 来声明本次跨域检测的有效期,浏览器会缓存检测结果,并在有效期内使用浏览器缓存。
服务端还可以通过返回 Access-Control-Expose-Headers 头部来告知浏览器,哪些特定响应头允许暴露给 AJAX 请求。通常只有 Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma 允许暴露,其他头部需要服务端特定声明。
浏览器会根据预检请求响应的 CORS 相关头部进行判断,只有实际请求的 Origin,Methods,Headers 等均符合要求,才会发起实际请求。
在 COS 配置 CORS 跨域规则
了解了 CORS 跨域访问机制后,我们看看用户需要配置的哪些 CORS 响应头部。
- 需配置Access-Control-Allow-Origin,必须包含 http://example.com,表示允许 http://example.com 对 COS 的跨域访问。
- 需配置Access-Control-Allow-Methods,必须包含GET方法。
- 需配置Access-Control-Expose-Headers,必须包含自定义头部 x-cos-meta-keywords,表示允许暴露该响应头部。
于是用户进入 COS 控制台,点击进入存储桶,在左侧的 “安全设置” 中选择 “跨域访问 CORS 设置”,点击添加规则,按如下规则填写:
- 来源 Origin:填入 http://example.com(也可以填写 *,代表允许所有域)
- 操作 Methods:勾选 GET
- Allow-Headers:设置为 *,代表请求允许携带任何头部
- Expose-Headers:添加 x-cos-meta-keywords
实际填写如下图所示,点击确定。
再次尝试刚刚的跨域请求,可以看到,跨域请求成功,并返回了文件内容以及自定义头部信息。
更进一步,用户还希望在网站上添加 “保存文章”,“删除文章” 等功能,为了降低开发成本,我们推荐其使用 cos-js-sdk-v5。为避免后续其他请求的跨域问题,我们推荐进行如下设置:
- 来源 Origin:填入 http://example.com(填写您的域名,须包含协议)
- 操作 Methods:勾选 PUT、GET、POST、DELETE、HEAD
- Allow-Headers:设置为 *,代表请求允许携带任何头部
- Expose-Headers:添加 ETag,x-cos-request-id 头部,确保 SDK 可以读取到需要的头部
- 超时 Max-Age:设置为 600,让浏览器缓存跨域检测结果,过期时间为 600 秒
CDN 上配置 CORS 规则
如果开通了 CDN 服务,并且设置 COS 为 CDN 的源站,由于 CDN 会缓存 COS 的响应结果,包括跨域响应头部。通过 CDN 域名访问 COS 上的文件时,如果希望响应的跨域头部为最新配置,可以在 CDN 控制台的 “Response Header 配置” 中设置 CORS 相关跨域头部,如下图所示:
可以看到,跨域请求 CDN 加速域名下的资源成功,响应的跨域头部和 CDN 控制台配置的一致。
结语
全文通过博客网站开发,浏览器主动拦截跨域的 AJAX 请求的场景,详细介绍了 CORS 跨域访问机制,以及如何在 COS 和 CDN 上配置 CORS 跨域规则。
此外,对象存储 COS 的 CORS 跨域机制基于存储桶可以配置多条跨域访问规则,允许 Web 应用服务器进行跨域访问控制,使得跨域数据传输得以安全进行,简单易用,无需额外的第三方工具操作。满足客户 Web 应用需要跨域访问存储桶资源的需求,帮助您构建内容丰富的 Web 应用。
COS 一直在不断地丰富产品特性,帮助用户更加轻松的使用对象存储 COS,让用户聚焦于数据内容,为业务赋能,释放数据价值。
