मेरे पास pixie.strd6.com पर चल रही साइट है और छवियों.pixie.strd6.com के लिए एक CNAME के साथ अमेज़ॅन S3 के माध्यम से होस्ट की गई छवियां हैं।एचटीएमएल 5 कैनवास getImageData और समान उत्पत्ति नीति
मैं एक HTML5 कैनवास के लिए इन छवियों को आकर्षित और getImageData विधि कॉल करने में सक्षम होना चाहते हैं, लेकिन यह Error: SECURITY_ERR: DOM Exception 18
मैं window.domain = "pixie.strd6.com"
स्थापित करने की कोशिश की है फेंकता है, लेकिन यह है कि कोई प्रभाव नहीं है।
साथ ही, $.get("http://dev.pixie.strd6.com/sprites/8516/thumb.png?1293830982", function(data) {console.log(data)})
भी एक त्रुटि फेंकता है: XMLHttpRequest cannot load http://dev.pixie.strd6.com/sprites/8516/thumb.png?1293830982 . Origin http://pixie.strd6.com is not allowed by Access-Control-Allow-Origin.
आदर्श रूप में एचटीएमएल 5 कैनवास उप डोमेन से getImageData
बुला ब्लॉक नहीं होगा। मैंने एस 3 में एक्सेस-कंट्रोल-ऑब्जेक्ट-हेडर हेडर सेट करने की कोशिश की है, लेकिन सफल नहीं हुआ है।
कोई भी मदद या कामकाज की सराहना की जाती है।
यह वही मूल नीति ज़्यादा बेवकूफ़ी भरी बात कभी है । अगर मैं जावास्क्रिप्ट का एक दुर्भावनापूर्ण टुकड़ा हूं और मैं दुर्भावनापूर्ण डेटा लोड करना चाहता हूं तो मैं पेज में एक मनमाना स्क्रिप्ट टैग शामिल करूंगा, छवि डेटा से "s3kri7 c0mm4nd5" नहीं पढ़ूंगा। एकमात्र लोग जो छवि डेटा पढ़ना चाहते हैं वे क्लाइंट साइड देव हैं। एक वीपीएन से "शीर्ष गुप्त छवि डेटा" चोरी करने के लिए, यदि आपकी साइट पहले ही xss'd हो चुकी है तो कीलॉगिंग अधिक विनाशकारी होगी। यह सब "सुरक्षा" करने के लिए कार्य करता है, जो वैध डेवलपर्स को कार्यों के सबसे सरल कार्य करने के लिए जावास्क्रिप्ट प्राप्त करने का प्रयास कर रहा है। –
एसओपी यहां एक वैध हमले वेक्टर के खिलाफ सुरक्षा कर रहा है।मान लीजिए कि आपके पास फोटो-शेयरिंग साइट पर एक निजी फोटो एलबम है (या अपनी ऑनलाइन बैंकिंग में संग्रहीत छवियों की जांच करें): गंदे कैनवास सुरक्षा के बिना, * वेब पर किसी भी पेज पर * आपके पास उन छवियों को पकड़ने की शक्ति होगी यदि उन्हें पता था यूआरएल और आप लॉग इन थे, क्योंकि '
'टैग से भेजे गए अनुरोध ** आपकी कुकीज़ का उपयोग ** **। यहां समस्या XSS'd साइटों से समझौता नहीं है; समस्या यह है कि * वेब पर कोई भी पृष्ठ * आपकी प्रमाणीकरण कुकीज़ का उपयोग करके कैनवास पर छवियां ला सकता है और पढ़ सकता है। –
apsillers
** tl; dr: ** जैसा कि यह अभी खड़ा है, कोई भी क्रॉस-डोमेन साइट *
'टैग में * आपकी लेख-आवश्यक छवियों (निजी फ़ोटो, छवियों की जांच आदि) प्रदर्शित कर सकती है, लेकिन, धन्यवाद एसओपी, वे कैनवास में उन छवियों की सामग्री को * पढ़ नहीं सकते हैं, उदाहरण के लिए, उन्हें सर्वर पर सहेजें। –
apsillers