Json 跨源不起作用-谷歌云

我有一个问题，我已经找了几个小时的信息。 我希望阻止访问我的bucket中的对象，这些对象只能从我的网站上查看，为此，我根据谷歌云存储的文档配置了跨源

我有这个url:，它有公开的权限，同一个url我希望它只能从我的web example.com上看到

[
    {
      "origin": ["https://example.com"],
      "responseHeader": ["*"],
      "method": ["GET", "HEAD", "DELETE"],
      "maxAgeSeconds": 3600
    }
]

---

但它对我不起作用，它对每个人都是可见的

快速回答是CORS不向谷歌云存储（GCS）提供授权。换句话说，您无法使用CORS保护GCS存储桶和对象

CORS是浏览器在浏览器上强制执行的安全策略。CORS代表跨来源资源共享。CORS的目的是通知浏览器是否可以从站点A加载/访问站点B上的资源。CORS的目的是保护最终用户，而不是保护您的内容

如果用户直接访问您的URL（将URL放在地址栏中），则不会发生跨源情况。你的桶就是原点

CORS的作用是其他人在其网站页面中使用您的对象URL下载对象。但是，浏览器自愿使用CORS，这意味着有些工具会忽略CORS策略（例如，curl）。通常，浏览器会将

来源
标题添加到请求中，然后由地面军事系统进行分析。这可能是伪造的，伪造的或只是没有指定

例如，GCS CORS经常被忽视的一个问题：

注意：CORS配置只影响对XML API端点的请求。
JSON API端点允许CORS请求，而不管服务器上的CORS设置如何
目标桶。对端点storage.cloud.google.com的请求
不允许CORS请求

storage.googleapis.com/your-bucket⬅ 不会有标题

your-bucket.storage.googleapis.com⬅ 将有cors标题

谷歌将帮助解释CORS如何与地面军事系统协同工作