Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 这个安全头,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者使用 crossorigin 属性。但我试了给 img 加 crossorigin=”anonymous” 也没用,还是加载不出来。
我本地开发用的是 Vite,图片是从另一个域名的 CDN 拉的。是不是还要服务端配合?或者我的 CSS 写法有问题?比如下面这段:
.avatar {
width: 40px;
height: 40px;
background-image: url('https://cdn.example.com/avatar.jpg');
background-size: cover;
border-radius: 50%;
}这种用 background-image 的方式根本没法加 crossorigin 啊,难道只能改用 <img> 标签?但那样布局又得重写……有没有别的办法?
- 1
回答
3浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在 Vue 项目里加了安全头 Cross-Origin-Embedder-Policy: require-corp,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者 crossorigi...
- 2
回答
57浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止了怎么办?
我给服务器配置了cross-origin-resource-policy: same-site,但跨域加载图片时还是出现这个错误:Blocked by Cross-Origin Resource Po...
- 2
回答
15浏览
Cross-Origin-Opener-Policy 设置后为什么页面打不开新窗口了?
我在 Vue 项目里加了 Cross-Origin-Opener-Policy: same-origin 安全头,结果用 window.open 打开新页面时直接被拦截了,控制台报错说“Blocked...
- 2
回答
43浏览
设置Cross-Origin-Opener-Policy后新窗口突然打不开是怎么回事?
我在给网站配置安全头的时候加了"Cross-Origin-Opener-Policy: same-origin",结果页面里用window.open()打开新标签页的按钮突然失效了。点击后控制台报错说...
- 2
回答
43浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止,哪里配置错了?
在React项目里用第三方图片地址,明明设置了CORS策略,但浏览器还是报跨域错误。我加了"Cross-Origin-Resource-Policy: cross-origin"头,但控制台还是提示:...
- 2
回答
51浏览
设置Cross-Origin-Opener-Policy后窗口通讯失效怎么办?
在单页应用里用window.open打开第三方支付页面时,发现通过postMessage传过去的支付结果总被拦截。之前正常工作的代码现在提示"Blocked by Cross-Origin-Opene...
- 2
回答
18浏览
为什么我的图片跨域时显示被阻止,但其他资源没问题?
我在本地开发时引用了另一个域名的图片,控制台报错"Blocked cross-origin image",但同样的域名加载CSS却没问题。这是为什么啊? 代码是这样的: <img src="ht...
- 1
回答
35浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
- 2
回答
86浏览
X-Frame-Options设置为SAMEORIGIN后页面仍被嵌入怎么办?
我在后端设置了X-Frame-Options为SAMEORIGIN,但发现页面还是能被其他域名iframe嵌入,这是为什么? 比如在Express里这样配置的: app.use((req, res, ...
- 2
回答
79浏览
为什么设置了Permissions-Policy头后,我的Web Worker突然报错?
我在项目里加了Permissions-Policy头想限制一些API权限,结果发现之前正常工作的Web Worker突然报错"NotAllowedError: The operation is not...
crossorigin属性对background-image是没用的,CSS 背景图根本不会触发 CORS 请求头,浏览器压根不会发Origin头过去,所以服务端即使配置了 CORS 也没用。你有两个可行方案:
第一个是改用
<img>标签 +crossorigin="anonymous",然后服务端必须返回Access-Control-Allow-Origin: *或者你域名的白名单。这是最稳妥的,虽然你嫌布局要改,但其实可以用object-fit来模拟background-size: cover,比如:第二个方案是别用
require-corp,改用Cross-Origin-Embedder-Policy: credentialless。这个是 Chrome 113+ 支持的新值,允许跨域资源加载但不会携带 cookie,对图片、视频这类静态资源完全够用,而且不会触发 CORS 限制。你本地 Vite 开发环境也能配合,只要服务端返回COEP: credentialless就行。如果你服务端用的是 Node.js / Express,可以这样加:
Nginx 的话加一行:
别再纠结
background-image了,CSS 背景图本身就不支持 CORS 请求,这是浏览器底层限制,不是你写法的问题。我之前也卡在这儿半天,最后还是换了标签或者降级策略才解决的。Access-Control-Allow-Origin: *(或具体域名)响应头,CDN 那边必须支持 CORS;background-image 没法用
crossorigin,但只要服务端返回了 CORS 头就能加载,报错说明服务端没配;Vite 本地开发可以用代理,比如在
vite.config.js里加server.proxy把 CDN 域名代理到本地绕过 CORS。