Если ты скручиваешь мой образ
curl -i https://local-spaces.fra1.digitaloceanspaces.com/test.jpg
вы увидите, что в ответе нет заголовка Access-Control-Allow-Origin.
Если так скручивать, заголовок устанавливается:
curl -H "Origin: http://example.com/" -i https://local-spaces.fra1.digitaloceanspaces.com/test.jpg
Теперь мне интересно, потому что все большие страницы CDN всегда устанавливают Access-Control-Allow-Origin: *, даже когда Sec-Fetch-Mode: no-cors.
Чтобы проверить это, сделайте следующее:
curl -i https://scontent.cdninstagram.com/vp/02a788f9e7f55880601ed240a0e3142a/5E29CBDE/t51.2885-15/sh0.08/e35/s640x640/72271766_155986088835033_6677460235579468035_n.jpg\?_nc_ht\=scontent.cdninstagram.com
или
curl -i https://loremflickr.com/480/640/girl,boy,man,men,woman\?lock\=4446
Ко мне обратилась поддержка:
На данный момент нет никакого способа заставить это сделать это. Без установки Origin заголовок не будет обслуживаться. Можно использовать прокси-сервис, однако он может не подходить для большинства случаев использования.