我在 Cloudfront 后面使用启用了 CORS 的 S3 存储桶。如果客户端使用 Origin 标头发出请求,则 S3(和 cloudfront)以“Vary: Origin”标头响应,但是如果请求是在没有 Origin 标头的情况下发出的,则响应不包含任何 Vary 标头。
这是有问题的,因为我在 img 标签中使用来自 cloudfront/s3 的资源,在这种情况下,浏览器会在没有 Origin 标头的情况下发出请求,然后再对所述图像发出 ajax 请求。然后浏览器使用缓存版本的图像,没有 Access-Control-Allow-Origin 标头,因此拒绝请求。
有什么方法可以让 S3 始终返回“Vary: Origin”标头?
【问题讨论】:
标签: amazon-s3 cors amazon-cloudfront
我注册帐户只是为了回答您的问题,因为这类问题(以及一些相关问题)的好的答案很少。
您描述的问题主要发生在 chrome、FF 和 IE 中,它们似乎足够聪明,不会在这些情况下在 AJAX 和常规调用之间共享缓存。
让我们首先为未来的读者描述为什么会出现这个问题:
<img> 或 <script> 标记询问服务器。如果服务器在同一个域中,则不包含 CORS 标头。在 HTML5 中有一个名为 crossorigin 的属性可以添加到标签中,以表示它们需要发送原始信息。
可能的值是 crossorigin='anonymous' 和 crossorigin='use-credentials' 这些与所提出的问题完全无关,但正如文档中所说:
默认情况下(即不指定属性时),根本不使用CORS。
https://developer.mozilla.org/en-US/docs/Web/HTML/CORS_settings_attributes
所以只需像这样<img src='cloundfront.path' crossorigin='use-credentials'>创建你的图片标签
就是这样。它非常晦涩,所以我希望这个答案可以为一群人节省一些研究时间。
【讨论】:
crossorigin="use-credentials" 等同于在XHR 请求上调用withCredentials 是否正确?如果是这样,就确保返回 CORS 标头而言,crossorigin="anonymous" 是否也能正常工作?如果可以的话,我宁愿不要让我的静态图像做设置 cookie 之类的事情。
crossorigin,您可以使用cache:no-store 执行fetch 请求,这将绕过缓存。
crossorigin="anonymous" 是静态资产更受欢迎的方法。这就是我在获取启用了 cors 的缓存图像时解决的问题。
另一种解决方案是将您的 CloudFront 分配配置为自动将非 CORS 请求转换为 CORS 请求。这可以通过使用最近添加的 CloudFront 功能“控制边缘到源请求标头”向 CloudFront 发送到 S3 的每个请求添加 CORS 标头来实现。
这里的文档:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html。
【讨论】:
我偶然发现了一种让 Cloudfront 始终添加“Vary: Origin”标头的简单方法,尽管据我所知没有记录:您可以通过在 CloudFront 缓存键中包含“Origin”来强制使用“Vary”标头。
在 Cloudfront 发行版上单击“编辑行为”,找到标题“缓存键和源请求”。如果您使用的是“旧版缓存设置”,请单击“添加标题”下的“来源”。如果您使用较新的缓存策略,则需要单击“创建策略”并在“缓存键设置”下添加 Origin,然后返回并使用刚刚创建的策略。
我的用例是 HMTL5 视频字幕轨道,如果您使用 crossorigin="anonymous",则不发送 Origin,如果没有 Origin,则没有 Vary: Origin。
【讨论】: