更新时间:2024-09-29 GMT+08:00

设置桶的CORS配置

功能介绍

CORS(Cross Origin Resource Sharing),即跨域资源共享,是W3C标准化组织提出的一种规范机制,允许客户端的跨域请求的配置。在通常的网页请求中,由于安全策略SOP(Same Origin Policy)的存在,一个网站的脚本和内容是不能与另一个网站的脚本和内容发生交互的。

OBS允许在桶内保存静态的网页资源,在正确的使用下,OBS的桶可以成为网站资源(请参见设置桶的网站配置)。只有进行了适当的CORS配置,OBS中的网站才能响应另一个网站的跨域请求。

典型的应用场景如下:

  • 你可以使用CORS支持,使用JavaScript和HTML 5来构建Web应用,直接访问OBS中的资源,而不再需要代理服务器做中转。
  • 可以使用HTML 5中的拖拽功能,直接向OBS上传文件,展示上传进度,或是直接从Web应用中更新内容。
  • 托管在不同域中的外部网页、样式表和HTML 5应用,现在可以引用存储在OBS中的Web字体或图片,让这些资源能被多个网站共享。

要正确执行此操作,需要确保执行者有PutBucketCORS权限。默认情况下只有桶的所有者可以执行此操作,也可以通过设置桶策略或用户策略授权给其他用户。

请求消息样式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
PUT /?cors HTTP/1.1 
Host: bucketname.obs.region.myhuaweicloud.com 
Content-Length: length
Date: date
Authorization: authorization
Content-SHA256: SHA256
<?xml version="1.0" encoding="UTF-8"?> 
<CORSConfiguration> 
    <CORSRule> 
        <ID>id</ID> 
        <AllowedMethod>method</AllowedMethod> 
        <AllowedOrigin>origin</AllowedOrigin> 
        <AllowedHeader>header</AllowedHeader> 
        <MaxAgeSeconds>seconds</MaxAgeSeconds> 
        <ExposeHeader>header</ExposeHeader> 
    </CORSRule> 
</CORSConfiguration>

请求消息参数

该请求消息中不使用消息参数。

请求消息头

该请求使用公共消息头外加CORS请求消息头,具体参见表3表1

表1 CORS请求消息头

消息头名称

消息头类型

是否必选

描述

Content-SHA256

String

参数解释:

按SHA安全加密标准计算出消息体的SHA256摘要字符串,即消息体256-bit SHA256值经过base64编码后得到的字符串。

示例:ogX9qClMrVJUBiUSIKDFM0qO41jJM0I5SCN55/OtMyI=

默认取值:

请求消息元素

在此请求中,需要在请求的消息体中配置桶的CORS配置信息。配置信息以XML格式上传,具体的配置元素如表2描述。

表2 CORS配置元素

元素名称

元素类型

是否必选

描述

CORSConfiguration

Container

参数解释:

CORSRules的根节点。

父节点:无

约束限制:

最大不超过64KB。

取值范围:

默认取值:

CORSRule

Container

参数解释:

CORS规则。

父节点:CORSConfiguration

约束限制:

CORSConfiguration下可最多包含100个CORS规则。

取值范围:

默认取值:

ID

String

参数解释:

一条CORS规则的标识。

父节点:CORSRule

约束限制:

ID由不超过255个字符的字符串组成。

取值范围:

1~255个字符的字符串组成。

默认取值:

AllowedMethod

String

参数解释:

指定允许的跨域请求HTTP方法,即桶和对象的几种操作类型。

父节点:CORSRule

约束限制:

取值范围:

支持以下HTTP方法:

  • GET
  • PUT
  • HEAD
  • POST
  • DELETE

默认取值:

AllowedOrigin

String

参数解释:

指定允许的跨域请求的来源,即允许来自该域名下的请求访问该桶。

约束限制:

表示域名的字符串,仅支持英文域名。通过正则表达式进行匹配,每个匹配规则允许使用最多一个“*”通配符。例如:https://*.vbs.example.com。

取值范围:

符合CORS协议的取值范围,长度为[0-20480]个字符。

默认取值:

AllowedHeader

String

参数解释:

指定允许的跨域请求的头域。配置CORS请求中允许携带的“Access-Control-Request-Headers”头域。如果一个请求带了“Access-Control-Request-Headers”头域,则只有匹配上AllowedHeader中的配置才认为是一个合法的CORS请求(通过正则表达式进行匹配)。

父节点:CORSRule

约束限制:

最多可填写一个“*”通配符,不支持&、:、<、空格以及中文字符。

取值范围:

符合CORS协议的取值范围,长度为[0-20480]个字符。

默认取值:

MaxAgeSeconds

Integer

参数解释:

请求来源的客户端可以对跨域请求返回结果的缓存时间。

父节点:CORSRule

约束限制:

每个CORSRule可以包含至多一个MaxAgeSeconds,可以设置为负值。

取值范围:

大于等于0的整型数,单位:秒。

默认取值:

3000

ExposeHeader

String

参数解释:

CORS规则允许响应中可返回的附加头域,给客户端提供额外的信息。默认情况下浏览器只能访问以下头域:Content-Length、Content-Type,如果需要访问其他头域,需要在附加头域中配置。

父节点:CORSRule

约束限制:

不支持*、&、:、<、空格以及中文字符。

取值范围:

符合CORS协议的取值范围。

默认取值:

响应消息样式

1
2
3
4
HTTP/1.1 status_code

Date: date
Content-Length: length

响应消息头

该请求的响应消息使用公共消息头,具体请参考表1

响应消息元素

该请求的响应消息不带消息元素。

错误响应消息

无特殊错误,所有错误已经包含在表2中。

请求示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
PUT /?cors HTTP/1.1
User-Agent: curl/7.29.0
Host: examplebucket.obs.region.myhuaweicloud.com
Accept: */*
Date: WED, 01 Jul 2015 03:51:52 GMT
Authorization: OBS H4IPJX0TQTHTHEBQQCEC:lq7BGoqE9yyhdEwE6KojJ7ysVxU=
Content-SHA256: ogX9qClMrVJUBiUSIKDFM0qO41jJM0I5SCN55/OtMyI=
Content-Length: 617

<?xml version="1.0" encoding="utf-8"?>
<CORSConfiguration> 
  <CORSRule> 
    <AllowedMethod>POST</AllowedMethod>  
    <AllowedMethod>GET</AllowedMethod>  
    <AllowedMethod>HEAD</AllowedMethod>  
    <AllowedMethod>PUT</AllowedMethod>  
    <AllowedMethod>DELETE</AllowedMethod>  
    <AllowedOrigin>www.example.com</AllowedOrigin>  
    <AllowedHeader>AllowedHeader_1</AllowedHeader>  
    <AllowedHeader>AllowedHeader_2</AllowedHeader>  
    <MaxAgeSeconds>100</MaxAgeSeconds>  
    <ExposeHeader>ExposeHeader_1</ExposeHeader>  
    <ExposeHeader>ExposeHeader_2</ExposeHeader> 
  </CORSRule>
</CORSConfiguration>

响应示例

1
2
3
4
5
6
7
HTTP/1.1 100 Continue
HTTP/1.1 200 OK
Server: OBS
x-obs-request-id: BF26000001643627112BD03512FC94A4
x-obs-id-2: 32AAAQAAEAABSAAgAAEAABAAAQAAEAABCSYi6wLC4bkrvuS9sqnlRjxK2a5Fe3ry
Date: WED, 01 Jul 2015 03:51:52 GMT
Content-Length: 0

请求示例:为桶配置两条CORS规则

PUT /?cors HTTP/1.1
Authorization: OBS H4IPJX0TQTHTHEBQQCEC:iqSPeUBl66PwXDApxjRKk6hlcN4=
User-Agent: curl/7.29.0
Host: examplebucket.obs.region.myhuaweicloud.com
Date: WED, 01 Jul 2015 02:37:22 GMT
Content-Type: application/xml
Content-MD5: HwVUAzslyD0rroMp/eIdwQ==
 
<CORSConfiguration>
    <CORSRule>
        <AllowedOrigin>http://www.example.com</AllowedOrigin>
        <AllowedMethod>PUT</AllowedMethod>
        <AllowedMethod>POST</AllowedMethod>
        <AllowedMethod>DELETE</AllowedMethod>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
    <CORSRule>
        <AllowedOrigin>*</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
    </CORSRule>
</CORSConfiguration>

响应示例:为桶配置两条CORS规则

x-obs-id-2: 32AAAQAAEAABSAAgAAEAABAAAQAAEAABCTPXg+yj9IXC9r6mgmWgfSfqQGvHM3rS
x-obs-request-id: 0000018A3A14051AD2886D166EE13D98
Server: OBS
Content-Length: 0
Date: WED, 01 Jul 2015 02:37:22 GMT