前端常見問題——Canvas 圖片跨域

zhbhun發表於2019-02-16

儘管不通過 CORS 就可以在 Canvas 畫布中使用圖片，但是這會汙染畫布。一旦畫布被汙染，你就無法讀取其資料。例如，你不能再使用畫布的 toBlob(), toDataURL() 或 getImageData() 方法，呼叫它們會丟擲安全錯誤。這種機制可以避免未經許可拉取遠端網站資訊而導致的使用者隱私洩露。

HTML 規範中圖片有一個 crossorigin 屬性，結合合適的 CORS 響應頭，就可以實現在畫布中使用跨域 <img> 元素的影像。

crossOrigin/CORS	同域	跨域無 CORS	跨域有 CORS
default	支援	支援渲染，不支援 `toDataURL`	支援渲染，不支援 `toDataURL`
anonymous	N/A	同上	支援渲染，支援 `toDataURL`
use-credentials	N/A	同上	支援渲染，不支援 `toDataURL`

總結：Canvas 可以正常的渲染跨域圖片，但是在跨域圖片沒有設定跨域響應頭或沒有設定 crossOrigin = `anonymous` 的時候，使用 canvas.toDataURl 會丟擲如下錯誤：

Chrome

沒有設定 crossOrigin

Uncaught DOMException: Failed to execute `toDataURL` on `HTMLCanvasElement`: Tainted canvases may not be exported.
at Image.img.onload...

跨域

Access to Image at `http://localhost:3001/canvas.jpg` from origin `http://localhost:3000` has been blocked by CORS policy: No `Access-Control-Allow-Origin` header is present on the requested resource. Origin `http://localhost:3000` is therefore not allowed access.

設定了 crossOrigin=use-credentials

Access to Image at `http://localhost:3002/canvas.jpg` from origin `http://localhost:3000` has been blocked by CORS policy: The value of the `Access-Control-Allow-Origin` header in the response must not be the wildcard `*` when the request`s credentials mode is `include`. Origin `http://localhost:3000` is therefore not allowed access.

Safari/Firefox

沒有設定 crossOrigin

SecurityError: The operation is insecure.

跨域

[Error] Origin http://192.168.3.99:3000 is not allowed by Access-Control-Allow-Origin.
[Error] Failed to load resource: Origin http://192.168.3.99:3000 is not allowed by Access-Control-Allow-Origin. (canvas.jpg, line 0)
[Error] Cross-origin image load denied by Cross-Origin Resource Sharing policy.

設定了 corssOrigin=use-credentials

[Error] Cannot use wildcard in Access-Control-Allow-Origin when credentials flag is true.
[Error] Failed to load resource: Cannot use wildcard in Access-Control-Allow-Origin when credentials flag is true. (canvas.jpg, line 0)
[Error] Cross-origin image load denied by Cross-Origin Resource Sharing policy.

測試示例

啟動伺服器
- npm start：啟動伺服器
- npm run start:corsdisable：啟動跨域圖片伺服器
- npm run start:corsable：啟動跨域-CORS圖片伺服器
訪問 http://localhost:3000

其他問題

cossOrigin 存在相容性問題
對於不支援 cossOrigin 的瀏覽器（IE 10及以下版本不支援，Android 4.3 及以下版本不支援）可以使用 XMLHttprequest 和 URL.createObjectURL() 來做相容，參考測試示例 Ajax 解決 Canvas 圖片跨域問題。
為什麼不使用同域圖片？
現在的前端開發一般都是將靜態資源放置到 CDN 上，例如：阿里雲或者騰訊雲服務，並且會有一個專門的域名來訪問這些資源。

參考文獻

canvas圖片跨域問題
2017-11-25
Canvas跨域
解決常見介面跨域問題
2020-11-25
跨域
canvas圖片跨域實踐解惑
2019-01-11
Canvas跨域
解決canvas合成圖片大小錯誤、模糊以及跨域的問題
2018-11-04
Canvas跨域
跨域CORS圖片上傳問題
2018-11-01
跨域CORS
nginx 解決圖片跨域問題
2020-12-04
Nginx跨域
前端常見跨域方案彙總
2019-03-26
前端跨域
前端跨域問題
2020-10-11
前端跨域
前端常見跨域解決方案（全）
2017-09-13
前端跨域
前端常見問題
2018-06-13
前端
搞懂：前端跨域問題JS解決跨域問題VUE代理解決跨域問題原理
2020-05-19
前端跨域JSVue
實戰前端跨域問題
2019-04-11
前端跨域
前端跨域問題總結
2019-02-14
前端跨域
Nginx解決前端跨域問題 CORS跨域配置
2020-02-21
Nginx前端跨域CORS
前端常見問題整理
2018-04-04
前端
前端常見問題 - vue
2018-05-17
前端Vue
前端跨域問題如何解決
2020-03-18
前端跨域
canvas 圖片、文字模糊問題
2018-05-03
Canvas
常見前端安全問題概述
2019-06-21
前端
前端常見問題（二）- html
2019-07-04
前端HTML
前端常見問題（三）- js
2019-07-04
前端JS
前端常見問題（四）- 其他
2018-10-17
前端
前端常見問題(一) - CSS
2018-05-09
前端CSS
解鎖canvas匯出圖片跨域的N種姿勢～
2019-01-22
Canvas跨域
前端解決跨域問題總結
2020-12-06
前端跨域
前端跨域問題及其解決方案
2018-06-30
前端跨域
前端常見問題 - ES6
2019-07-23
前端
前端常見JS問題總結
2017-12-14
前端JS
阿里雲圖片跨域訪問設定
2022-01-11
阿里跨域
前端http請求跨域問題解決
2018-03-09
前端HTTP跨域
跨域問題
2024-03-10
跨域
Nginx解決前端訪問資源跨域問題
2021-01-10
Nginx前端跨域
跨域請求中常見的幾個問題
2019-06-06
跨域
前端面試常見問題有哪些？
2021-11-10
前端面試
SEO常見問題指南–資訊圖
2014-01-01
前端面試總結之：js跨域問題
2019-03-28
前端面試JS跨域
前端進階課程之跨域問題詳解
2018-11-07
前端跨域
前端解決跨域問題的8種方案
2016-11-02
前端跨域

前端常見問題——Canvas 圖片跨域

測試示例

其他問題

參考文獻

相關文章