同源檢測(cè)

跨域訪問(wèn)是瀏覽器出于安全考慮而設(shè)置的一個(gè)限制，即同源策略，是用于隔離潛在惡意文件的關(guān)鍵安全機(jī)制。當(dāng)A、B兩個(gè)網(wǎng)站屬于不同域時(shí)，來(lái)自于A網(wǎng)站頁(yè)面中的JavaScript代碼訪問(wèn)B網(wǎng)站時(shí)，瀏覽器會(huì)拒絕該訪問(wèn)。

同協(xié)議、同域名（或IP）、以及同端口視為同域。兩個(gè)頁(yè)面的協(xié)議、域名和端口（若指定了端口）相同，則視為同源。下表給出了相對(duì)http://www.aliyun.com/org/test.html的同源檢測(cè)示例：

從上表中可以看出，協(xié)議、域名或者端口不同的情況下，瀏覽器會(huì)拒絕該來(lái)源的訪問(wèn)。如果要允許這些來(lái)源的訪問(wèn)，需要設(shè)置跨域資源共享規(guī)則。

注意事項(xiàng)

• 每個(gè)Bucket最多可以配置10條跨域規(guī)則。

• 當(dāng)OSS收到一個(gè)跨域請(qǐng)求（或者OPTIONS請(qǐng)求）時(shí)，會(huì)讀取Bucket對(duì)應(yīng)的CORS規(guī)則，然后進(jìn)行相應(yīng)的權(quán)限檢查。OSS會(huì)依次檢查每一條規(guī)則，使用第一條匹配的規(guī)則來(lái)允許請(qǐng)求并返回對(duì)應(yīng)的Header。如果所有規(guī)則都匹配失敗，則不附加任何CORS相關(guān)的Header。

• 如果您開(kāi)啟了CDN加速，并且需要進(jìn)行跨域訪問(wèn)時(shí)，您需要在CDN控制臺(tái)配置跨域規(guī)則。具體步驟，請(qǐng)參見(jiàn)CDN如何配置跨域資源共享（CORS）。

CORS規(guī)則

OSS支持根據(jù)需求靈活配置CORS規(guī)則，實(shí)現(xiàn)允許或者拒絕相應(yīng)的跨域請(qǐng)求。CORS規(guī)則僅用來(lái)決定是否附加CORS相關(guān)的Header，是否攔截跨域請(qǐng)求由瀏覽器決定。

以下兩種情況下需選中返回Vary: Origin以避免本地緩存錯(cuò)亂。

注意 選中返回Vary: Origin后，可能會(huì)造成瀏覽器訪問(wèn)次數(shù)或者CDN回源次數(shù)增加。

• 同時(shí)存在CORS和非CORS請(qǐng)求

  例如實(shí)際請(qǐng)求中在<img>標(biāo)簽下發(fā)起非CORS請(qǐng)求，在fetch下發(fā)起CORS請(qǐng)求。

  <!doctype html><html><head>  <meta charset="UTF-8">  <title>CORS Test</title></head><body>//非CORS請(qǐng)求。<img src="https://examplebucket.oss-cn-beijing.aliyuncs.com/exampleobject.txt" alt=""><script>
    //CORS請(qǐng)求。  fetch("https://examplebucket.oss-cn-beijing.aliyuncs.com/exampleobject.txt").then(console.log)</script></body></html>

• Origin頭存在多種可能值

  例如實(shí)際應(yīng)用中指定允許的跨域請(qǐng)求來(lái)源Origin頭為http://www.example.com以及https://www.example.org。