设置Cross-Origin-Resource-Policy后图片还是被阻止,哪里配置错了?
在React项目里用第三方图片地址,明明设置了CORS策略,但浏览器还是报跨域错误。我加了”Cross-Origin-Resource-Policy: cross-origin”头,但控制台还是提示:
blocked by Cross-Origin Resource Policy: No 'Cross-Origin-Resource-Policy' header is present on the requested resource.之前还试过把图片域名加到CORS允许列表,调整过COOP/COEP配置,但问题没解决。现在搞不懂是响应头顺序有问题,还是服务器没正确下发头?有没有同学遇到过类似情况?
- 2
回答
48浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止了怎么办?
我给服务器配置了cross-origin-resource-policy: same-site,但跨域加载图片时还是出现这个错误:Blocked by Cross-Origin Resource Po...
- 2
回答
34浏览
设置Cross-Origin-Opener-Policy后新窗口突然打不开是怎么回事?
我在给网站配置安全头的时候加了"Cross-Origin-Opener-Policy: same-origin",结果页面里用window.open()打开新标签页的按钮突然失效了。点击后控制台报错说...
- 2
回答
43浏览
设置Cross-Origin-Opener-Policy后窗口通讯失效怎么办?
在单页应用里用window.open打开第三方支付页面时,发现通过postMessage传过去的支付结果总被拦截。之前正常工作的代码现在提示"Blocked by Cross-Origin-Opene...
- 2
回答
4浏览
为什么我的图片跨域时显示被阻止,但其他资源没问题?
我在本地开发时引用了另一个域名的图片,控制台报错"Blocked cross-origin image",但同样的域名加载CSS却没问题。这是为什么啊? 代码是这样的: <img src="ht...
- 1
回答
31浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
- 2
回答
60浏览
X-Frame-Options设置为SAMEORIGIN后页面仍被嵌入怎么办?
我在后端设置了X-Frame-Options为SAMEORIGIN,但发现页面还是能被其他域名iframe嵌入,这是为什么? 比如在Express里这样配置的: app.use((req, res, ...
- 2
回答
38浏览
设置X-Permitted-Cross-Domain-Policies后Flash跨域还是被拦截怎么办?
我在配置安全头时加了X-Permitted-Cross-Domain-Policies: master-only,但Flash上传功能请求crossdomain.xml时还是报跨域错误,这是为什么? ...
- 1
回答
50浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
- 2
回答
34浏览
为什么设置了CORS头后图片还是被COP策略拦截?
我在开发时遇到了奇怪的问题,服务器设置了Access-Control-Allow-Origin: *,但页面加载外部图片时还是报错:"图片被Cross-Origin Resource Policy阻止...
- 2
回答
72浏览
为什么设置了Permissions-Policy头后,我的Web Worker突然报错?
我在项目里加了Permissions-Policy头想限制一些API权限,结果发现之前正常工作的Web Worker突然报错"NotAllowedError: The operation is not...
如果你控制不了图片服务器,比如是第三方服务,那就只能用代理,比如你的后端做一个转发接口,把图片流过来再返回,这样就能绕过浏览器的跨域限制。
还有个可能你没注意到的是,图片地址必须在 HTTPS 下,如果你是 HTTP 环境加载 HTTPS 的图片,有些浏览器也会报错。检查一下请求地址和响应头是否正常下发,比如用 curl -I 看看第三方图片地址有没有带 Access-Control-Allow-Origin:* 或者指定你的域名。
Cross-Origin-Resource-Policy: cross-origin头,但浏览器还是报错,很可能不是你的React项目或者前端代码的问题,而是图片所在的服务器没正确设置响应头。重点来了:即使你在自己的服务里设置了这个头,但如果图片服务器本身没有正确返回对应的
Cross-Origin-Resource-Policy或者其他相关的 CORS 头,浏览器还是会拒绝加载。这是因为跨域策略是基于资源本身的响应头来判断的,而不是请求方怎么设置。简单说,你需要确认一下几点:
1. 图片服务器是否支持自定义响应头。
2. 如果你没法控制图片服务器(比如用的是第三方图床),那可能就没办法通过这种方式解决。
如果可以控制图片服务器,确保它的响应头里有类似这样的内容:
另外,有时候浏览器缓存也会捣乱,记得清一下缓存再试。
要是还是不行,可以考虑用代理的方式,让图片从你自己的服务器中转一下,这样就能完全掌控响应头了。虽然稍微麻烦点,但确实是可行的办法。