よぅ @kedama@foresdon.jp · 2020年07月28日 01:07

よぅ @kedama@foresdon.jp · 2020年07月28日 01:07

広すぎか？GET なら通して良い気もするけど…… foresdon.jp 以外の Origin から直接 GET 来ることあるんだっけ？

**zunda** @zundan@mastodon.zunda.ninja · 2020年07月28日 01:09

**zunda** @zundan@mastodon.zunda.ninja · 2020年07月28日 01:09

zunda @zundan@mastodon.zunda.ninja

@kedama 僕は、リモートからトゥートの配達だけ受けてローカルにキャッシュをもらってない時にリモートにあるオリジナルのメディアを見に行きそうだなあと思いつつAllowedOriginを*にしてみました。 @noellabo さんが詳しくご存じかも。

よぅ @kedama@foresdon.jp · 2020年07月28日 01:11

よぅ @kedama@foresdon.jp · 2020年07月28日 01:11

@zundan なるほどー。カレーのひとの降臨を待ちつつ、ちょっと S3 と CloudFront のログなど眺めてみます！ @noellabo

**のえる** @noellabo@fedibird.com · 2020年07月28日 01:46

**のえる** @noellabo@fedibird.com · 2020年07月28日 01:46

のえる @noellabo@fedibird.com

@kedama @zundan アクセス元は、

・自鯖（サーバプロセス）
・自鯖（WebUI）
・他鯖のWeb
・リモートサーバ（連合先）
・クライアントアプリ

かな。

CORS意識するのはWebUIを表示するブラウザぐらいで、他はみてないと思う（）

クライアントアプリは、他鯖の画像を自鯖から取得せずにリモートを直接みにいっちゃうものが結構ある（けどCORS……）。PleromaやMisskey、キャッシュしないで直接見に行かせちゃう場合あるんじゃないかな。

プロキシが間に入る場合は、S3のヘッダを隠して、プロキシがヘッダを付け直す感じ？
https://docs.joinmastodon.org/admin/optional/object-storage-proxy/

proxy_hide_header 'Access-Control-Allow-Origin';
proxy_hide_header 'Access-Control-Allow-Methods';
proxy_hide_header 'Access-Control-Allow-Headers';

add_header 'Access-Control-Allow-Origin' '*'

**のえる** @noellabo@fedibird.com · 2020-07-28T01:51:53Z

のえる @noellabo@fedibird.com

@kedama @zundan 他鯖のWebってのが、PleromaとかMisskey。これはブラウザによる参照なので影響受ける可能性ある。そもそもMastodonの新オーディオプレイヤーとか関係ないから、今回は大丈夫だけど、何かでひっかかることはあるかもしれない。

むしろ、ブロックした方がいい案件という話もある。

直接参照だとユーザーがいつアクティブなのかトラッキングできてしまうので、それを防ぐ意味もありまする。

2020年07月28日 01:51 · · Web · · ·