那些遇到过的问题

在 S3/CF 上托管 Javascript 的推荐 CORS 配置是什么?

Ist*_*van 3 amazon-s3 cors amazon-cloudfront

我已经看到了类似问题的答案,但我想知道在 2017 年,如果我想限制对 *.domain.tld 的合法访问,那么为 S3/CF 配置 CORS 的最佳方法是什么。Javascript 正在从 CF 加载并使用对 api.domain.tld 的 Ajax 请求呈现 Web 应用程序。

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*.domain.tld</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>HEAD</AllowedMethod>
        <AllowedMethod>OPTIONS</AllowedMethod>
        <MaxAgeSeconds>3000</MaxAgeSeconds>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>
Run Code Online (Sandbox Code Playgroud)

还有什么我可以添加来改进 CORS 设置的吗?

Mah*_*eja 6

以下是进行 CORS 配置的一般规则:

1)A valid CORS configuration consists of 0 to 100 CORS rules.
2)Each rule must include at least one origin.
3)An origin may contain at most one wildcard *
4)Each rule must include at least one method.
5)The supported methods are: GET, HEAD, PUT, POST, DELETE.
6)Each rule may contain an identifying string of up to 255 characters.
7)Each rule may specify zero or more allowed request headers (which the client may include in the request).
8)Each rule may specify zero or more exposed response headers (which are sent back from the server to the client).
9)Each rule may specify a cache validity time of zero or more seconds. If not included, the client should supply their own default.
Run Code Online (Sandbox Code Playgroud)

最近我与 JS/CF 项目之一合作,这是我的 CORS 配置。

<CORSConfiguration>
<CORSRule>
    <ID>example.com: Allow PUT & POST with AWS S3 JS
    SDK</ID>
    <AllowedOrigin>https://www.example.com</AllowedOrigin>
    <AllowedOrigin>http://www.example.com</AllowedOrigin>
    <AllowedOrigin>https://example.com</AllowedOrigin>
    <AllowedOrigin>http://example.com</AllowedOrigin>
    <AllowedMethod>PUT</AllowedMethod>
    <AllowedMethod>POST</AllowedMethod>
    <AllowedHeader>Origin</AllowedHeader>
    <AllowedHeader>Content-Length</AllowedHeader>
    <AllowedHeader>Content-Type</AllowedHeader>
    <AllowedHeader>Content-MD5</AllowedHeader>
    <AllowedHeader>X-Amz-User-Agent</AllowedHeader>
    <AllowedHeader>X-Amz-Date</AllowedHeader>
    <AllowedHeader>Authorization</AllowedHeader>
    <ExposeHeader>ETag</ExposeHeader>
    <MaxAgeSeconds>1800</MaxAgeSeconds>
</CORSRule>
<CORSRule>
    <ID>example.com: Allow GET with AWS S3 JS SDK</ID>
    <AllowedOrigin>*</AllowedOrigin>
    <AllowedMethod>GET</AllowedMethod>
    <AllowedMethod>HEAD</AllowedMethod>
    <AllowedHeader>*</AllowedHeader>
    <ExposeHeader>ETag</ExposeHeader>
    <MaxAgeSeconds>1800</MaxAgeSeconds>
</CORSRule>
</CORSConfiguration>
Run Code Online (Sandbox Code Playgroud)

您可以在此处找到更多详细信息

谢谢

归档时间:

查看次数:

2230 次

最近记录:

8 年,10 月 前
相关归档
如何在API网关前添加CloudFront 33
为Carrierwave添加其他标头以进行Amazon s3加密 12
Cors Filter - 允许所有子域 8
HTML5 Canvas getImageData安全错误 7
Core 2.1拒绝使用Access-Control-Expose-Headers响应:* 6
如何取消活动的boto3 s3 file_download? 6
使用Django + Fineuploader + boto从S3删除文件 5
如何删除AWS Cloudfront Origin Access Identity 5
如何使用.NET API为AWS S3上传生成请求签名? 2
使用s3boto和django-storages的collecstatic修改过的文件 2
难疑归档
将现有的,未提交的工作移动到Git中的新分支 2982
将字节转换为字符串? 1968
删除文件或文件夹 1910
按值复制数组 1638
如何停止跟踪并忽略Git中文件的更改? 1634
在jQuery中创建div元素 1500
循环遍历Bash中的文件内容 1242
如何在同一元素上组合背景图像和CSS3渐变? 1203
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177
NP,NP-Complete和NP-Hard有什么区别? 1064