Запрос URL-адреса HLS / DA SH для видео, размещенного в Reddit, через XHR приводит к ошибке «отсутствует заголовок CORS« Access-Control-Allow-Origin »отсутствует» - PullRequest
Новая
       91

Запрос URL-адреса HLS / DA SH для видео, размещенного в Reddit, через XHR приводит к ошибке «отсутствует заголовок CORS« Access-Control-Allow-Origin »отсутствует»

1 голос
/ 08 марта 2020

Я пытаюсь использовать библиотеку hls. js для отображения размещенных на Reddit видео из списка воспроизведения HLS / DA SH. Однако доступ к любому URL Reddit HLS / DA SH, например, этот через XHR, не будет выполнен из-за того, что ошибка говорит о нарушении политики одного источника:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://v.redd.it/5r0nz8sywgl41/DASHPlaylist.mpd. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing).

Странно то, что запрос до GET является опцией, которая возвращает заголовок Access-Control-Allow-Origin с правильным URL-адресом источника. Я могу видеть ответ в консоли разработчика, но запрос все еще "терпит неудачу". Если я использую расширение «Разрешить CORS: Access-Control-Allow-Origin», все работает нормально. Что я делаю неправильно?

OPTIONS заголовки запроса: 

Host: v.redd.it
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:73.0) Gecko/20100101 Firefox/73.0
Accept: */*
Accept-Language: lt,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
Access-Control-Request-Method: GET
Access-Control-Request-Headers: authorization
Referer: http://localhost:3000/
Origin: http://localhost:3000
DNT: 1
Connection: keep-alive
Save-Data: on
Pragma: no-cache
Cache-Control: no-cache
TE: Trailers

OPTIONS заголовки ответа: 

HTTP/2 200 OK
retry-after: 0
access-control-allow-origin: http://localhost:3000
access-control-allow-headers: authorization
access-control-allow-methods: GET
access-control-max-age: 3000
date: Sun, 08 Mar 2020 18:40:29 GMT
via: 1.1 varnish
x-served-by: cache-hhn4029-HHN
x-cache: HIT
x-cache-hits: 0
x-timer: S1583692829.044409,VS0,VE0
server: snooserv
accept-ranges: bytes
x-cdn-server-region: EU-East
x-cdn-client-region: EU
x-cdn-name: fastly
access-control-expose-headers: x-cdn-server-region, x-cdn-client-region, x-cdn-name
cache-control: public, max-age=604800, s-maxage=86400, must-revalidate
vary: Access-Control-Request-Headers, Access-Control-Request-Method,Origin
content-length: 0
X-Firefox-Spdy: h2

GET заголовки запроса: 

Host: v.redd.it
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:73.0) Gecko/20100101 Firefox/73.0
Accept: */*
Accept-Language: lt,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
Referer: http://localhost:3000/
Authorization: Bearer --------------------------- (actual token here)
Origin: http://localhost:3000
DNT: 1
Connection: keep-alive
Save-Data: on
Pragma: no-cache
Cache-Control: no-cache
TE: Trailers

GET заголовки ответа: 

HTTP/2 200 OK
last-modified: Sun, 08 Mar 2020 15:34:11 GMT
etag: "0abfb243cb8d03188bf34ff29d6d4af8"
content-type: application/dash+xml
via: 1.1 varnish
date: Sun, 08 Mar 2020 18:40:29 GMT
via: 1.1 varnish
x-served-by: cache-bwi5138-BWI, cache-hhn4029-HHN
x-cache: HIT, HIT
x-cache-hits: 2, 34
x-timer: S1583692829.127808,VS0,VE0
server: snooserv
accept-ranges: bytes
x-cdn-server-region: EU-East
x-cdn-client-region: EU
x-cdn-name: fastly
access-control-expose-headers: x-cdn-server-region, x-cdn-client-region, x-cdn-name
cache-control: public, max-age=604800, s-maxage=86400, must-revalidate
vary: Origin
content-length: 1976
X-Firefox-Spdy: h2

GET response: 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<MPD mediaPresentationDuration="PT15.034S" minBufferTime="PT1.500S" profiles="urn:mpeg:dash:profile:isoff-on-demand:2011" type="static" xmlns="urn:mpeg:dash:schema:mpd:2011">
    <Period duration="PT15.034S">
        <AdaptationSet segmentAlignment="true" subsegmentAlignment="true" subsegmentStartsWithSAP="1">
            <Representation bandwidth="1172841" codecs="avc1.4d401f" frameRate="30" height="480" id="VIDEO-1" mimeType="video/mp4" startWithSAP="1" width="720">
                <BaseURL>DASH_480</BaseURL>
                <SegmentBase indexRange="913-992" indexRangeExact="true">
                    <Initialization range="0-912"/>
                </SegmentBase>
            </Representation>
            <Representation bandwidth="784684" codecs="avc1.4d401e" frameRate="30" height="360" id="VIDEO-2" mimeType="video/mp4" startWithSAP="1" width="540">
                <BaseURL>DASH_360</BaseURL>
                <SegmentBase indexRange="915-994" indexRangeExact="true">
                    <Initialization range="0-914"/>
                </SegmentBase>
            </Representation>
            <Representation bandwidth="592784" codecs="avc1.4d401e" frameRate="30" height="240" id="VIDEO-3" mimeType="video/mp4" startWithSAP="1" width="360">
                <BaseURL>DASH_240</BaseURL>
                <SegmentBase indexRange="915-994" indexRangeExact="true">
                    <Initialization range="0-914"/>
                </SegmentBase>
            </Representation>
            <Representation bandwidth="91690" codecs="avc1.4d400a" frameRate="30" height="96" id="VIDEO-4" mimeType="video/mp4" startWithSAP="1" width="144">
                <BaseURL>DASH_96</BaseURL>
                <SegmentBase indexRange="912-991" indexRangeExact="true">
                    <Initialization range="0-911"/>
                </SegmentBase>
            </Representation>
        </AdaptationSet>
    </Period>
</MPD>

Большое спасибо за вашу помощь.

1 Ответ

1 голос
/ 09 марта 2020

Проблема в том, что ответ от https://v.redd.it/5r0nz8sywgl41/DASHPlaylist.mpd на запрос GET из вашего кода не включает заголовок ответа Access-Control-Allow-Origin. Как ни странно, он включает заголовок ответа Access-Control-Expose-Headers. Так что причина в том, что сервер неправильно настроен; на самом деле он не работает надлежащим образом с поддержкой CORS.

В частности: даже если сервер отправляет заголовок Access-Control-Allow-Origin в ответ на предварительный просмотр OPTIONS, одного этого недостаточно, чтобы браузеры позволяли вашему веб-интерфейсу кодировать чтобы получить доступ к ответу на актуальный запрос GET в вашем коде. Чтобы ваш код работал, сервер также должен отправить заголовок Access-Control-Allow-Origin в ответ на этот запрос GET.

Но вы можете обойти неправильную конфигурацию https://v.redd.it и получить доступ к Reddit HLS / DA SH URL-адреса из кода вашего внешнего интерфейса без расширения браузера - отправьте запрос через прокси-сервер CORS, как в следующем примере. 

const proxyurl = "https://cors-anywhere.herokuapp.com/";
const url = "https://v.redd.it/5r0nz8sywgl41/DASHPlaylist.mpd";
fetch(proxyurl + url)
.then(response => response.text())
.then(contents => console.log(contents))

Для объяснения см. Ответ на { ссылка }.

Вы можете легко запустить свой собственный прокси, используя код из https://github.com/Rob--W/cors-anywhere/, и вы можете быстро развернуть свой собственный прокси-сервер в Heroku буквально за 2-3 минуты, используя 5 команд: 

git clone https://github.com/Rob--W/cors-anywhere.git
cd cors-anywhere/
npm install
heroku create
git push heroku master

После выполнения этих команд вы получите ваш собственный сервер CORS Anywhere, например, https://cryptic-headland-94862.herokuapp.com/. Поэтому вместо префикса URL вашего запроса с https://cors-anywhere.herokuapp.com вместо этого добавьте префикс URL для вашего собственного экземпляра; например, https://cryptic-headland-94862.herokuapp.com/https: //example.com.

...