調用PutBucketCors接口為指定的存儲空間(Bucket)設置跨域資源共享CORS(Cross-Origin Resource Sharing)規則。
注意事項
默認不開啟CORS
Bucket默認不開啟CORS功能,所有跨域請求的Origin都不被允許。
覆蓋語義
PutBucketCors為覆蓋語義,即新配置的CORS規則將覆蓋已有的CORS規則。
應用程序中使用CORS
在應用程序中使用CORS功能時,需通過PutBucketCors接口手動上傳CORS規則來開啟CORS功能。
例如從
example.com通過瀏覽器的XMLHttpRequest功能來訪問OSS,需要通過本接口手動上傳CORS規則,且CORS規則需由XML文檔進行描述。CORS規則匹配
當OSS收到一個跨域請求或OPTIONS請求,會先讀取Bucket對應的CORS規則,然后進行相應的權限檢查。OSS會依次檢查每一條規則,使用第一條匹配的規則來允許請求并返回對應的Header。如果所有規則都匹配失敗,則不附加任何CORS相關的Header。
CORS規則匹配成功必須滿足以下三個條件:
請求的Origin必須匹配一個
AllowedOrigin項。請求的方法(例如GET、PUT等)或者OPTIONS請求的
Access-Control-Request-Method頭對應的方法必須匹配一個AllowedMethod項。OPTIONS請求的
Access-Control-Request-Headers頭包含的每個header都必須匹配一個AllowedHeader項。
請求語法
PUT /?cors HTTP/1.1
Date: GMT Date
Content-Length:ContentLength
Content-Type: application/xml
Host: BucketName.oss-cn-hangzhou.aliyuncs.com
Authorization: SignatureValue
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration>
<CORSRule>
<AllowedOrigin>the origin you want allow CORS request from</AllowedOrigin>
<AllowedOrigin>…</AllowedOrigin>
<AllowedMethod>HTTP method</AllowedMethod>
<AllowedMethod>…</AllowedMethod>
<AllowedHeader> headers that allowed browser to send</AllowedHeader>
<AllowedHeader>…</AllowedHeader>
<ExposeHeader> headers in response that can access from client app</ExposeHeader>
<ExposeHeader>…</ExposeHeader>
<MaxAgeSeconds>time to cache pre-fight response</MaxAgeSeconds>
</CORSRule>
<CORSRule>
…
</CORSRule>
…
</CORSConfiguration >請求元素
名稱 | 類型 | 是否必選 | 示例值 | 描述 |
CORSRule | 容器 | 是 | 不涉及 | CORS規則的容器。 每個Bucket最多支持配置10條CORS規則。上傳的XML文檔大小最大允許16 KB。 父節點:CORSConfiguration |
AllowedOrigin | 字符串 | 是 | * | 指定允許的跨域請求來源。 OSS支持使用多個元素來指定多個允許的來源。 AllowedOrigin中只能使用一個星號(*)通配符。如果指定AllowedOrigin為星號(*),則表示允許所有來源的跨域請求。 父節點:CORSRule |
AllowedMethod | 枚舉值 | 是 | GET | 指定允許的跨域請求方法。取值范圍為GET、PUT、DELETE、POST、HEAD。 父節點:CORSRule |
AllowedHeader | 字符串 | 否 | Authorization | 控制OPTIONS預取指令 在 重要 AllowedHeader中只能使用一個星號(*)通配符,且不支持使用以下字符:
父節點:CORSRule |
ExposeHeader | 字符串 | 否 | x-oss-test | 指定允許用戶從應用程序中訪問的響應頭。例如一個JavaScript的XMLHttpRequest對象。 重要 ExposeHeader中不支持使用以下字符:
父節點:CORSRule |
MaxAgeSeconds | 整型 | 否 | 100 | 指定瀏覽器對特定資源的預取(OPTIONS)請求返回結果的緩存時間。單位為秒。 單條CORS規則僅允許一個MaxAgeSeconds。 父節點:CORSRule |
CORSConfiguration | 容器 | 是 | 不涉及 | Bucket的CORS規則容器。 父節點:無 |
ResponseVary | 布爾 | 否 | false | 是否返回Vary: Origin頭。 取值范圍如下:
重要 此字段不能單獨配置,必須至少配置一項跨域規則才能生效。 |
此接口涉及的Host、Authorization等其他更多公共請求頭的更多信息,請參見公共請求頭(Common Request Headers)。
響應頭
此接口僅返回公共響應頭。更多信息,請參見公共響應頭(Common Response Headers)。
示例
請求示例
PUT /?cors HTTP/1.1 Host: oss-example.oss-cn-hangzhou.aliyuncs.com Content-Length: 186 Date: Fri, 04 May 2012 03:21:12 GMT Authorization: OSS qn6q**************:77Dv**************** <?xml version="1.0" encoding="UTF-8"?> <CORSConfiguration> <CORSRule> <AllowedOrigin>*</AllowedOrigin> <AllowedMethod>PUT</AllowedMethod> <AllowedMethod>GET</AllowedMethod> <AllowedHeader>Authorization</AllowedHeader> </CORSRule> <CORSRule> <AllowedOrigin>http://example.com</AllowedOrigin> <AllowedOrigin>http://example.net</AllowedOrigin> <AllowedMethod>GET</AllowedMethod> <AllowedHeader> Authorization</AllowedHeader> <ExposeHeader>x-oss-test</ExposeHeader> <ExposeHeader>x-oss-test1</ExposeHeader> <MaxAgeSeconds>100</MaxAgeSeconds> </CORSRule> <ResponseVary>false</ResponseVary> </CORSConfiguration >返回示例
HTTP/1.1 200 OK x-oss-request-id: 50519080C4689A033D0***** Date: Fri, 04 May 2012 03:21:12 GMT Content-Length: 0 Connection: keep-alive Server: AliyunOSS x-oss-server-time: 94
SDK
此接口所對應的各語言SDK如下:
錯誤碼
錯誤碼 | HTTP狀態碼 | 描述 |
InvalidDigest | 400 | 上傳了Content-MD5請求頭后,OSS會計算消息體的Content-MD5并檢查一致性,如果不一致則返回此錯誤碼。 |