{ "componentChunkName": "component---src-templates-blog-post-jsx", "path": "/post/how-to-disable-limitation-of-cors-in-html5-canvas/", "result": {"data":{"site":{"siteMetadata":{"title":"WEB EGG","author":"Leko - CTO at Yuimedi"}},"markdownRemark":{"id":"5e95b21a-9819-56c3-a0dd-af669e7dbc3e","excerpt":"こんにちは。 画像をくっつけるツールというjsで簡単な画像処理を行うSPAを作った時に、 URLを指定して画像を読み込んで結合する、という要件があり、 この要件とcanvas周りでハマったので対象方法を残します。 何が起きたか、なぜ起きるか URLをimgタグのsrc属性にセット 画像の読込が完了したらcanvas…","html":"

こんにちは。
\n画像をくっつけるツールというjsで簡単な画像処理を行うSPAを作った時に、

\n

URLを指定して画像を読み込んで結合する、という要件があり、
\nこの要件とcanvas周りでハマったので対象方法を残します。

\n\n

何が起きたか、なぜ起きるか

\n
    \n
  1. URLをimgタグのsrc属性にセット
    2. \n
  2. 画像の読込が完了したらcanvasに描画
    3. \n
  3. canvas.toDataURL()でdata uriに変換
    4. \n
\n

という流れで処理をしようと目論んでいたのですが、3でエラーが起きました。
\nUnable to get image data from canvas because the canvas has been tainted by cross-origin data.

\n
\n

CORS Enabled Image

\n
\n

上記の記事に解説がありますが、外部ドメインのデータによってcanvasが汚染されている、というエラーでした。

\n
\n

S3上の画像をCORSを利用してCanvasで使う

\n
\n

上記の記事のように、画像サーバでCORSをわざわざ有効にしてくれるパターンはごく稀で、大体の場合この制限に引っかります。

\n

どう対処するか

\n\n

ということで、自分のサーバをプロキシとして扱い、

\n\n

として、自分のサーバから返されたバイナリなので制限を突破する、という作戦で行きます。

\n

もちろんセキュリティ上の制限を無理やり超えるので、ブラウザの脆弱性を突かれる可能性があります。ご留意の上ご使用下さい。
\n以下に具体的な手段を載せます。

\n
\n

今回の場合、セッションを持っておらず、URLパラメータに対しても反応しないので、悪意のあるURLを誰かに踏ませることは出来ないので自分で悪意のある入力をして自分に攻撃をすることしかできない。iframe埋め込みもさせないので、他人のPCへ攻撃はできない。という仮定で作っています。
\nもしレスポンスを受け取ってechoするだけの処理に脆弱性があるならサーバ側がやられます。が仮にやられてもデータを保持しておらず、ソースコードは公開しているし、怖いのは改竄くらいですが、定期的にコンテナの破棄+gitで管理されたソースでのコンテナ再構築 + 再起動がかかるので、まぁ大丈夫だろうという推定で動いています。

\n
\n

生XHRを使用する or jQueryにオプションを足す

\n

バイナリのレスポンスを受け取るには、XHRのresponseTypeにarraybufferを使用する必要があります。
\n出ないと文字化けした良く分からないテキスト、がレスポンスになってしまいます。

\n

なおAjaxのライブラリ(jQueryやsuperagentあたり)を使用している場合注意が必要です。

\n
\n

バイナリファイルをAjaxで取得する際に注意する点

\n
\n

なおソース読んでみた結果、superagentでarraybugferの指定は現状使用できないです。

\n

画像URLをGoに投げ画像を取得しバイナリをレスポンス

\n

Goで実装してますが、サーバ側は何の言語でも同じです。URLに対応する画像の中身を取得し、バイナリのレスポンスを吐きます。

\n

jsでバイナリを受け取ってBlob化

\n

responseType: arraybufferで受け取ったレスポンスをバイナリに変換します。

\n
xhr.onreadystatechange = function() {\n  // 判定略\n  var buff = xhr.response;\n  var blob = new Blob([buff], { type: ... });\n}
\n

引数はArraybufferの配列なのでご注意下さい。
\n配列になっているのは複数のArrayBufferを指定できるためだそうです。

\n

Blobをimgタグのsrcに指定する

\n

window.URL.createObjectURL()を使用して、バイナリをsrc属性に指定可能な形式に変換します。
\nこのURLはいつでも使えるパーマリンクではなく、そのページを開いている間のみ有効なものなので、リロードすると使えなくなります。

\n

drawImage

\n

Imageオブジェクトに自分のサーバから返されたバイナリ(画像)がセットされたので、あとは普通にcanvasで扱うだけです。

\n
\n

drawImage() メソッド – Canvasリファレンス – HTML5.JP

\n
\n

CORS制限を回避したので、canvas内で加工した画像を書き出すことができるようになっています。

","timeToRead":5,"frontmatter":{"title":"canvasのCORS制限を突破する","tags":["HTML5 Canvas","JavaScript","security"],"date":"December 15, 2015","featuredImage":null}}},"pageContext":{"slug":"/how-to-disable-limitation-of-cors-in-html5-canvas/","previous":{"fields":{"slug":"/refactored-ansible-settings-to-setup-golang/"},"frontmatter":{"title":"Goの環境を作るAnsibleの設定をリファクタした","tags":["Ansible","Go"]}},"next":{"fields":{"slug":"/how-to-download-with-a-tag-without-file-server/"},"frontmatter":{"title":"aタグのdownload属性でサーバを介さずにファイルダウンロードする","tags":["HTML5 Canvas"]}}}}, "staticQueryHashes": ["2585454260","2954598359"]}