详解如何解决canvas图片getImageData,toDataURL跨域问题

一、首先，图片服务器需要配置access-control-allow-origin

一般团队都会有一个专门域名放置静态资源，例如腾讯是gtimg.com，百度是bdimg.com；或者很多团队使用的是腾讯云或者阿里云的服务。

而主页面所在域名往往不一样，当需要需要对canvas图片进行getimagedata()或todataurl()操作的时候，跨域问题就出来了，而且跨域问题还不止一层。

首先，第一步，图片服务器需要配置access-control-allow-origin信息，例如：

如php添加响应头信息，*通配符表示允许任意域名：

header("access-control-allow-origin: *");

或者指定域名：

header("access-control-allow-origin: www.zhangxinxu.com");

此时，chrome浏览器就不会有access-control-allow-origin相关的错误信息了，但是，还会有其他的跨域错误信息。

二、canvas图片getimagedata cross-origin跨域问题

对于跨域的图片，只要能够在网页中正常显示出来，就可以使用canvas的drawimage() api绘制出来。但是如果你想更进一步，通过getimagedata()方法获取图片的完整的像素信息，则多半会出错。

举例来说，使用下面代码获取github上的自己头像图片信息：

var canvas = document.createelement('canvas');
var context = canvas.getcontext('2d');

var img = new image();
img.onload = function () {
    context.drawimage(this, 0, 0);
    context.getimagedata(0, 0, this.width, this.height);
};
img.src = 'https://avatars3.githubusercontent.com/u/496048?s=120&v=4';';

结果在chrome浏览器下显示如下错误：

uncaught domexception: failed to execute ‘getimagedata’ on ‘canvasrenderingcontext2d’: the canvas has been tainted by cross-origin data.

firefox浏览器错误为：

securityerror: the operation is insecure.

如果使用的是canvas.todataurl()方法，则会报：

failed to execute ‘todataurl’ on　’htmlcanvaselement’: tainted canvased may not be exported

原因其实都是一样的，跨域导致。

那有没有什么办法可以解决这个问题呢？

可以试试crossorigin属性。

三、html crossorigin属性解决资源跨域问题

在html5中，有些元素提供了支持cors(cross-origin resource sharing)（跨域资源共享）的属性，这些元素包括<img>，<video>，<script>等，而提供的属性名就是crossorigin属性。

因此，上面的跨域问题可以这么处理：

var canvas = document.createelement('canvas');
var context = canvas.getcontext('2d');

var img = new image();
img.crossorigin = '';
img.onload = function () {
    context.drawimage(this, 0, 0);
    context.getimagedata(0, 0, this.width, this.height);
};
img.src = 'https://avatars3.githubusercontent.com/u/496048?s=120&v=4';';

增加一个img.crossorigin = ''即可，虽然js代码这里设置的是空字符串，实际上起作用的属性值是anonymous。

crossorigin可以有下面两个值：

其中，只要crossorigin的属性值不是use-credentials，全部都会解析为anonymous，包括空字符串，包括类似'abc'这样的字符。

例如：

img.crossorigin = 'abc';
console.log(img.crossorigin);    // 结果是'anonymous'

另外还有一点需要注意，那就是虽然没有crossorigin属性，和设置crossorigin="use-credentials"在默认情况下都会报跨域出错，但是性质上却不一样，两者有较大区别。

crossorigin兼容性

ie11+(ie edge)，safari，chrome，firefox浏览器均支持，ie9和ie10会报securityerror安全错误，如下截图：

四、crossorigin属性为什么可以解决资源跨域问题？

crossorigin=anonymous相对于告诉对方服务器，你不需要带任何非匿名信息过来。例如cookie，因此，当前浏览器肯定是安全的。

就好比你要去别人家里拿一件衣服，crossorigin=anonymous相对于告诉对方，我只要衣服，其他都不要。如果不说，可能对方在衣服里放个窃听器什么的，就不安全了，浏览器就会阻止。

五、ie10浏览器不支持crossorigin怎么办？

我们请求图片的时候，不是直接通过new image()，而是借助ajax和url.createobjecturl()方法曲线救国。

代码如下：

var xhr = new xmlhttprequest();
xhr.onload = function () {
    var url = url.createobjecturl(this.response);
    var img = new image();
    img.onload = function () {
        // 此时你就可以使用canvas对img为所欲为了
        // ... code ...
        // 图片用完后记得释放内存
        url.revokeobjecturl(url);
    };
    img.src = url;
};
xhr.open('get', url, true);
xhr.responsetype = 'blob';
xhr.send();

此方法不仅ie10浏览器ok，原本支持crossorigin的诸位浏览器也是支持的。

也就多走一个ajax请求，还可以！

根据，根据实践发现，在ie浏览器下，如果请求的图片过大，几千像素那种，图片会加载失败，我猜是超过了blob尺寸限制。

六、结束语

最近工作中学到的一点小经验，希望可以帮到遇到类似问题的小伙伴。也希望大家多多支持。