问题标签 [cross-origin-resource-policy]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

34 问题
Newest
Active
Bountied
318
Unanswered
0 投票
0 回答
384 浏览

iframe - iframe - 使用 iframe 执行 SSO 并访问身份验证墙后面的页面

我有 2 个域,一个托管我的应用程序 - myapp,另一个托管 gooddata 仪表板 - analytics.myapp。我想在我的应用程序的页面中嵌入一个gooddata仪表板。我已将 frame-src 设置为允许来自仪表板所在域的请求:

我还在CORS主机analytics.myapp上设置了允许来自myapp域的请求:

我想将包含来自域的内容的 iframe 嵌入到域analytics.myapp上的页面中,只有在您通过身份验证后才能看到myapp。现在,当我加载内容时,iframe 正在显示登录页面,如果我尝试通过 iframe 登录,则会收到错误消息:

如果我analytics.myapp在另一个不起作用的选项卡中使用用户登录,因为 cookie 不会发送到myapp域。我看到可以通过他们文档中的 api 进行身份验证。他们也有关于如何嵌入仪表板的文档,但是为了查看嵌入式仪表板文档说:

用户必须是工作区成员才能查看嵌入式仪表板。

我还没有实现 SSO(单点登录),但我想知道一旦我实现它,CORS 还会有问题吗?我想,一旦我实现了这个,并且来自myapp域的用户转到我有一个带有嵌入式仪表板的 iframe 的页面analytics.myapp,他们将被重定向到一个身份验证端点,在该端点上myapp,用户将通过 SSO 进行身份验证analytics.myapp并重定向回来与analytics.myapp用户数据。

现在是正确的流程,并且可以与 iframe 一起使用,是否有任何 CORS 问题,可以这样实现吗?

0 投票
0 回答
182 浏览

google-chrome - chrome升级到83后浏览器屏蔽了服务端界面的响应

铬 81

服务器配置了响应头 'Cross-Origin-Opener-Policy':'same-origin', 'Cross-Origin-Embedder-Policy':'require-corp',

浏览器访问服务器界面没有问题

铬 83

服务器配置了响应头 'Cross-Origin-Opener-Policy':'same-origin', 'Cross-Origin-Embedder-Policy':'require-corp',

我的浏览器访问服务器接口返回错误:加载资源失败:net::ERR_BLOCKED_BY_RESPONSE

将响应头添加到服务器接口后,该接口就可以正常访问了。“跨域资源策略”:“跨域”

我们的一些接口需要第三方接口,例如 AWS 上传。我们无法为这些接口配置'Cross-Origin-Resource-Policy':'cross-origin' 这将导致使用 AWS 上传失败。这种情况有什么解决办法吗?

0 投票
0 回答
143 浏览

websecurity - 为什么需要跨域隔离和CORB/CORP?

使用的缩写:

  • CORP:跨域资源策略
  • CORS:跨域资源共享
  • CORB:跨源读取阻塞
  • SSCA:投机侧信道攻击,如 Spectre

看了这篇文章,还是不明白为什么需要跨域隔离和CORB/CORP。具体来说:

  • 如果网页可以在不使用跨域隔离功能(如SharedArrayBuffer)的情况下执行 SSCA,这就是 Chromium 的假设

    • 为什么需要跨域隔离才能访问这些功能?

  • 否则,如果网页在不使用跨域隔离功能的情况下无法执行 SSCA:

    • 为什么需要 CORB 和 CORP?

另外,由于网页可以使用跨域隔离功能执行 SSCA,那么使用Cross-Origin-Resource-Policy: cross-origin和之间有什么区别Access-Control-Allow-Origin: *,因为 SSCA 可以通过嵌入资源来读取数据并且Access-Control-Allow-Origin: *不需要它?

0 投票
1 回答
1698 浏览

google-chrome - 添加 COOP COEP HTTP 标头会导致第三方脚本停止在 Chrome 上运行

我们收到来自 Google 的消息,说我们需要添加 COOP 和/或 COEP 标头

https://example.com/上对SharedArrayBuffers的新要求Google 系统最近检测到在https://example.com/ 上使用了 SharedArrayBuffers (SAB) ,但不提供COOP和/或COEP标头。出于 Web 兼容性原因,Chrome 计划从 Chrome 91 (2021-05-25) 开始要求 COOP/COEP 才能使用 SAB。请在您的网站上实施“跨域隔离”行为。

我们相应地添加了这些标题。

并为所有外部资源添加crossorigin属性

然而,

第三方外部脚本加载的其他资源不会加载,会ERR_BLOCKED_BY_RESPONSE报错。

这不是在添加 COOP 和 COEP 标头后唯一被破坏的第 3 方脚本。Google Recaptcha v2 也坏了。

这发生在 Chrome 版本 89.0.4389.90

有谁知道如何在不要求每个第三方为我们更改其 CORS 标头的情况下解决此问题?

0 投票
1 回答
1699 浏览

html - 如何在我的网站上显示 Instagram 图片

我正在使用jsanahuja/jquery.instagramFeed在我的网站上显示 Instagram 提要

但是图像没有显示。我在控制台中收到以下错误。

我检查了浏览器中的标题。这是请求和响应标头。

在此处输入图像描述

甚至我创建了一个带有单个图像标签的简单 HTML 文件并使用

https://scontent-arn2-2.cdninstagram.com/v/t51.2885-15/sh0.08/e35/s640x640/174191033_293248945850264_4706822520582962514_n.jpg?tp=1&_nc_ht=scontent-arn2-2.cdninstagram.com&_nc_cat=1&_nc_ohc=lUMp5EnMMW8AX__E42K&edm=ABfd0MgBAAAA&ccb=7-4&oh=c755580e7a5f0c8e3d4170122390efbc&oe=60AE0543&_nc_sid=7bff83

作为图像源,但仍然出现相同的错误。

有没有可能显示图像?还是 Instagram 不允许我们在网站上使用他们的图片?

0 投票
1 回答
63 浏览

php - 将 Instagram 图像保存到 WP 库

我正在使用instagram PHP 抓取工具每天一次从 Instagram 获取一些图像,现在我想将它们保存到 WP 以符合新的 Instagram API“跨域资源策略:同源”限制。

不幸的是,下载图像对我来说似乎是个问题。我得到这样的 URL:

https://scontent-frt3-2.cdninstagram.com/v/t51.2885-15/e35/s1080x1080/180944446_818094295796893_2664338416777947736_n.jpg?tp=1&_nc_ht=scontent-frt3-2.cdninstagram.com&_nc_cat=101&_nc_ohc=IeiX9KxK83IAX_dtO18&edm=APU89FABAAAA&ccb= 7-4&oh=78ad506e5ddbbcf3adfe3000d0a9a794&oe=60B3A80A&_nc_sid=86f79a

应该只是保存 jpg 但不幸的是 file_get_contents 返回一个空文件。

我目前正在使用此代码:

$imagetype 也是空的,因为 getimagesize()['mime'] 是空的。

我真的不知道如何下载图像,因为我不太熟悉 PHP。你知道如何最好地存档吗?非常感谢!

0 投票
1 回答
295 浏览

php - 如果我不使用此代码,则永远不会显示 instagram 图像

仅当我使用此代码时,图片才会显示在我的网站中...

但如果使用这个:

它显示损坏的图像,如下所示:https : //i.imgur.com/ufJHy1n.png 并且它只发生在 instagram 图像中,因为 url 的结尾不像 xxxx.jpg 请帮助!

0 投票
0 回答
217 浏览

amazon-s3 - 如何修复s3上的cors

我使用https://docs.aws.amazon.com/AmazonS3/latest/userguide/ManageCorsUsing.html在 s3 上设置了 CORS 。在我的网站上,我ckeditor用来上传将其发送到 s3 的图像。问题是,POST作品但GET没有。失败了

跨域资源策略

要使用来自不同来源的资源,服务器需要在响应头中指定跨域资源策略:

Cross-Origin-Resource-Policy: same-site 如果资源和文档是从同一站点提供的,请选择此选项。

Cross-Origin-Resource-Policy: cross-origin 仅当包含此资源的任意网站不会造成安全风险时才选择此选项。

来自 GET 的响应

我在 apache 服务器上有以下设置

0 投票
1 回答
435 浏览

node.js - 无法使用 Print Js 打印 PDF 文件

下面给出的是我试图从中打印 pdf 文件的代码。

但它不工作并且在 chrome 控制台上跳到错误之下

从源“null”访问“file:///test.pdf”处的 XMLHttpRequest 已被 CORS 策略阻止:跨源请求仅支持协议方案:http、data、chrome、chrome-extension、chrome-untrusted、 HTTPS。

我遵循 Print-js 文档中所述的所有规则。我的 {.pdf} 文件和 {.html} 文件在同一个文件夹中。它与 {.jpg} 文件一起工作正常。请帮我。

我正在分享我的头标签 JS 中包含的脚本的链接:- https://printjs-4de6.kxcdn.com/print.min.js CSS:- https://printjs-4de6.kxcdn.com/print .min.css

user10333164
0 投票
1 回答
138 浏览

amazon-web-services - 如何修复错误在使用 Amazon 的 S3 和 Cloudfront 时,请求的资源上不存在“Access-Control-Allow-Origin”标头

当我配置 S3 和 Cloudfront 以保护我的高级文件时,我遇到了 Cloudfront 的跨域问题,我研究并找到了这个链接并按照该教程修复我的错误,但它不起作用。

以下是我的错误和我的配置:

来自 Web 浏览器的错误

1. Cloudfront 行为配置

行为 1

行为 2

2. S3跨域资源共享(CORS)配置

S3 CORS 权限

S3 政策

我花了很多时间研究和解决这个问题,但不能,请帮我解决这个问题或告诉我配置有什么问题?

太感谢了。


12345678910