从另一台服务器下载时,即使Access-Control-Allow-Origin设置为all(*),HTML5下载属性也不起作用
我有这样的下载链接:
<a href="foo.xls" download="bar.xls">Foobar</a>
在同一台服务器上下载文件时,此方法工作正常,但从另一台服务器(在本例中为Azure blob存储)下载文件时,即使HTTP响应返回以下标头,文件名仍为“
foo.xls”:
访问控制允许来源:*
这是设计使然,还是我可以将其他标头添加到HTTP响应中以使其正常工作?
问题答案:
是的,这是设计使CORS标头对download属性没有影响。只有两种支持该download属性的浏览器,即Firefox和Chrome,并且两种浏览器对跨域文件都有不同的策略。
实际上,65之前的 Chrome版本确实允许download跨域文件中的属性,而没有CORS标头,但Firefox却选择了不允许,理由是潜在的社交工程攻击。
MDN download在a标记的属性部分下记录了Firefox 20的此行为,此行为至今未更改。
在Firefox 20中,仅对具有相同来源的资源的链接授予此属性。
Bugzilla的这份报告讨论了安全问题以及使用CORS的可能性。
当用户单击这样的链接时,将提示用户是否要下载。用户似乎很容易犯错,以为是在下载原始网站上的内容,而不是从bank.com上下载的内容。
如果您对跨源安全性提出质疑,是否可以在考虑到相同来源和CORS(访问控制允许来源)的情况下实现它?这对于Web应用程序非常有用(使用JS创建Blob并让用户使用一些有意义的名称下载它)
Google反对为此使用CORS。
还有这个Bugzilla报告,该报告总结了其他bug报告中的决策。
另外,跨源下载在Google Chrome中也可以正常运行。
是的,我们认为他们这样做是在添加安全漏洞。
Bugzilla问题似乎并未排除download将来使用CORS进行跨域属性支持的可能性,但现在使用CORS标头对download属性没有任何作用。如果其他浏览器开始支持该属性,则可能会达成共识。
为了完整起见,当然有Content-Disposition标头,您可以使用该标头来强制从其他域下载,但这并不提供与download属性相同的功能。它确实具有更好的浏览器支持。
-
Access-Control-Allow-Origin响应 header 指示是否该响应可以与具有给定资源共享原点。 Header type Response header Forbidden header name no 语法 Access-Control-Allow-Origin: *Access-Control-Allow-Origin: <origin> 指令 * 对于没有凭据的请求,服务
-
问题内容: 我正在使用Sencha Touch 2应用程序(包装在PhoneGap中)到远程PHP服务器。 服务器的响应如下: XMLHttpRequest无法加载http://nqatalog.negroesquisso.pt/login.php。原产地不被访问控制允许来源允许的。 我该如何解决这个问题? 问题答案: 不久前,我写了一篇有关此问题的文章Cross Domain AJAX 。 如果
-
问题内容: 我编写了一个小型的Rails应用程序,以通过xmlhttprequests将内容提供给另一个站点,该站点将从另一个域运行(无法在同一服务器上运行它们)。我知道我将需要在我的rails服务器上设置access- control-allow-origin,以允许发出请求的网页访问此材料。 关于如何使用Apache进行此操作的文档似乎有很多文献记录,这可能是部署站点后将使用的服务器。虽然在开
-
null 服务器的响应如下: XMLHttpRequest无法加载http://nqatalog.negroesquisso.pt/login.php。Access-Control-Allow-Origin不允许Origin 。 如何解决此问题?
-
我认为浏览器在被响应时使用了它的缓存,并发现被缓存为的资源,因此拒绝满足请求。 我怎样才能缓解这里的问题?有什么想法吗?