< 文档首页
全部产品
弹性计算
存储
数据库
网络
视频与CDN
域名与网站(万网)
应用服务
互联网中间件
移动研发平台EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
云市场
开发者工具
解决方案
智能硬件
会员服务
更多

    OSS跨域资源共享(CORS)出现的常见错误及解决方案

    更新时间:2019-10-16 10:32:56

    编辑 我的收藏
    ★ 我的收藏
    本页目录

    概述

    本文主要介绍跨域资源共享(Cross Origin Resource Sharing,简称CORS)配置的常见错误及解决方案。

     

    详细信息

    配置项

    CORS的配置方法一般是针对每个访问来源单独配置规则,勿将多个来源加到一个规则,多个规则之间不要有覆盖冲突。其它的选项只开放需要的权限即可。CORS配置有以下几项。

    • 来源(AllowedOrigin):允许跨域请求的来源,可以同时指定多个来源。配置时需带上完整的域信息,例如:http://10.X.X.100:8001或https://www.aliyun.com。注意,不要遗漏了协议名http或https,如果端口不是默认的80,还需要带上端口。如果不能确定域名,可以打开浏览器的调试功能,查看Header中的Origin。域名支持*通配符,每个域名中允许最多使用一个*,例如https://*.aliyun.com。如果来源指定为*,则表示允许所有来源的跨域请求。
    • 允许 Methods:按照需求开通对应的方法即可,调试时可以全部选择。
    • 允许 Headers:允许的跨域请求Header。允许配置多条匹配规则,以回车间隔。在Access-Control-Request-Headers中指定的每个Header,都必须在Allowed Header中有对应项。Header容易遗漏,没有特殊需求的情况下,建议设置为*,表示允许所有,大小写不敏感。
    • 暴露 Headers:暴露给浏览器的Header列表,即用户从应用程序中访问的响应头,例如一个Javascript的XMLHttpRequest对象。不允许使用通配符。具体的配置需要根据应用的需求确定,只暴露需要使用的Header。如果不需要暴露可以不填。大小写不敏感。该项是可选配置项。
    • 缓存时间(MaxAgeSeconds):浏览器对特定资源的预取请求(OPTIONS请求)返回结果的缓存时间,单位为秒。如果没有特殊情况可以稍大一点,比如60秒。该项是可选配置项。

     

    错误排除

    报错信息

    CORS配置错误会报如下错误。

    • 浏览器出现类似如下错误。
      OPTIONS http://bucket.oss-cn-beijing.aliyuncs.com/
XMLHttpRequest cannot load http://bucket.oss-cn-beijing.aliyuncs.com/. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin '{yourwebsiet}' is therefore not allowed access. The response had HTTP status code 403.
    • OSS报如下错误。 
      <Code>AccessForbidden</Code>
<Message>CORSResponse: This CORS request is not allowed. This is usually because the evalution of Origin, request method / Access-Control-Request-Method or Access-Control-Requet-Headers are not whitelisted by the resource's CORS spec.</Message>
    • 其它错误请参看OSS 403错误及排除

    提示

    • CORS报错一般是站点类应用导致,浏览器中可以查看请求详情。如Chrome浏览器,按F12打开开发者工具,在Network中查看相应元素。
    • OSS返回的错误可以通过抓包获取。如使用Wireshark,筛选器可以指定为域名,即[$Bucket_Name].oss-cn-beijing.aliyuncs.com,[$Bucket_Name]为Bucket名称。
    • OSS返回的错误也可以通过CORS的oss-h5-upload-js-direct调试程序获取。

     

    错误排查

    CORS可能出现的错误如下所示。

    • 来源(AllowedOrigin)配置不正确。
    • Method(AllowedMethod)配置错误。
    • Allow Header配置错误。
    • Expose Header配置错误。

     

    调试方法

    在OSS控制台,选择Bucket后,单击 基础设置,在跨域设置中单设置,进行下述配置。

    • 将来源(AllowedOrigin)设置成*,确认该配置项无误。如果设置成*后可以成功上传,说明是之前的来源(AllowedOrigin)配置错误,请根据规则认真检查。
    • 依次选择“允许 Methods”的全部选项,即GET、PUT、DELETE、POST、HEAD,确认该配置项目无误。
    • 将“允许 Headers”配置成*,确认该配置无误。
    • 将“暴露 Headers”设置为指定值或者不填,确认该项配置无误。

     

    相关文档

    CORS的介绍及配置请参看设置跨域资源共享

     

    适用于

    • 对象存储 OSS
    上一篇:AssumeRole调用常见问题及排查说明
    下一篇:OSS 403错误及排查
    相关文档
    相关产品
    • 对象存储 OSS
      阿里云对象存储服务(Object Storage Service,简称 OSS),是阿里云提供的海量、安全、低成本、高可靠的云存储服务。您可以通过调用 API,在任何应用、任何时间、任何地点上传和下载数据,也可以通过 Web 控制台对数据进行简单的管理。OSS 适合存放任意类型的文件,适合各种网站、开发企业及开发者使用。按实际容量付费真正使您专注于核心业务。
    • 访问控制
      访问控制(Resource Access Management,RAM)是阿里云提供的一项管理用户身份与资源访问权限的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。
    • CDN
      阿里云内容分发网络(Content Delivery Network,简称CDN)是建立并覆盖在承载网之上、由分布在不同区域的边缘节点服务器群组成的分布式网络。替代传统以Web Server为中心的数据传输模式,将源站资源缓存到阿里云全国各地的边缘服务器,供用户就近快速获取,提升用户体验,降低源站压力。