11

我正在尝试从 ajax 请求访问驻留在 S3 中的 html 文件,但出现 403 错误。

我在线阅读了 AWS,如果我这样做,我需要设置 AWS CORS 规则来修复 403 错误。

但是,我已经尝试了两天,但我没有任何运气。这是我的 CORS 配置:

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
    <AllowedOrigin>*</AllowedOrigin>
    <AllowedMethod>GET</AllowedMethod>
    <MaxAgeSeconds>3000</MaxAgeSeconds>
    <ExposeHeader>XMLHttpRequest</ExposeHeader>
    <AllowedHeader>x-csrftoken</AllowedHeader>
 </CORSRule>
 </CORSConfiguration>

我的 HTTP 请求如下所示:

Accept  text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding gzip, deflate
Accept-Language en-US,en;q=0.5
Access-Control-Request-He...    x-csrftoken
Access-Control-Request-Me...    GET
Connection  keep-alive
Host    xxxxxxxxx.cloudfront.net
Origin  http://localhost:8000
User-Agent  Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0

谁能帮我看看我错过了什么?

谢谢!

4

2 回答 2

5

对于那些在跨源 s3 访问的 OPTIONS 请求中来到 403并且没有找到他们想要的东西的人,也许我在这方面的经验可以提供帮助。

tldr; 浏览器被设计为在来自不同来源的 302 重定向上将来源设置为null

在对存储桶上的资源进行预检请求时,我还遇到了 CORS 问题,如果直接浏览该资源,则该资源是可用的。

我在存储桶上配置了具有正确接受的标头和来源的 CORS。类似于以下内容。

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
    <AllowedOrigin>http://localhost:8080</AllowedOrigin>
    <AllowedMethod>GET</AllowedMethod>
    <AllowedMethod>HEAD</AllowedMethod>
    <MaxAgeSeconds>3000</MaxAgeSeconds>
    <AllowedHeader>authorization</AllowedHeader>
</CORSRule>
</CORSConfiguration>

然后我收到了一个错误

Access to XMLHttpRequest at 'https://[REDACTED].s3.amazonaws.com/[REDACTED]?AWSAccessKeyId=[REDACTED]' (redirected from '[REDACTED]') from origin 'null' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

检查请求标头后,很明显,一个可疑的事情是 Origin 的值为“null”。

Access-Control-Request-Headers: authorization
Access-Control-Request-Method: GET
Origin: null
Referer: [REDACTED]
User-Agent: [REDACTED]

事实证明,由于安全问题,浏览器旨在将来自不同来源的 302 重定向设置null 。更多信息在这里

除了不进行重定向之外,没有解决此问题的方法。我不得不重新设计正在执行重定向的后端资源,以提供直接访问 s3 bbject 的链接。

于 2019-09-19T17:30:59.117 回答
0

HTTP 403 (Frobidden) 并不一定意味着您需要 CORS。一种选择是将所有请求都发送到云端(同一来源),并且在您的分发中,有多个来源和行为。前任:

Beavior   ->  Origin

/api/*    ->  my.api.com
/static/* ->  my.s3.bucket

但是,如果您确实需要跨域请求,则 CORS 标头应由云端转发并具有相同的行为,在您的示例中,您可能希望对您允许的标头更加宽容(<AllowedHeader>*</AllowedHeader>?)。但这与 CLoudFront 或 S3 相比,与浏览器行为的关系更大。

于 2014-04-08T14:40:14.810 回答