我正在将s3demo-cors.php示例代码的工作副本转换为ASP.NET。我试图了解在哪些情况下需要CORS处理。例如,我看到PHP代码在尝试删除对象之前调用handleCorsRequest()。为什么运行PHP代码的服务器删除S3上的对象需要任何CORS头?或者脚本运行完毕后客户端使用的标头是什么?关于何时以及如何确切地需要CORS头文件,我可能会生锈,但据我所知,它们适用于客户端JavaScript,因此它可以直接从浏览器处理S3,而不是服务器可以与S3通信。此外,对于删除对象功能,有哪些安全措施,以便在S3上删除对象的请求进行身份验证?也许我错过了代码中首先授权删除请求的地方?是因为客户端只知道他们上传的对象的键值吗?什么是其他人下载文件,并可以看到键值,他们可以提交删除对象的请求吗?感谢。
答案 0 :(得分:0)
如果您的签名服务器或删除文件处理程序服务器和上传器实例/页面托管在同一个源上,则无需担心CORS。如果处理删除文件请求和/或签名请求的端点与托管上载页面的端点不同,则需要处理CORS。
如果您在跨源环境中工作,则必须适当地在服务器响应中确认跨源请求。
就身份验证/安全而言,这是您的责任。您的网络应用应该已经处理过了。