问题现象

DataV的屏幕上发现了这么个诡异的现象：

在开发的屏幕中，用xhr加载图片供canvas渲染，时好时坏，报错的异常是：跨域失败，查看network的请求，在失败的时候，图片返回的header里确实缺失了cors的几个关键信息。

而且开发的同学经常是好的，到了用户手里就不行。

服务器端的oss策略仔细检查了，没有问题， 而且屏幕上有时候是好的，说明服务至少正常过。oss的接口幂等基本上不用怀疑，所以把疑问再次转回到客户端。

在一次本地重现之后，在network里过滤出错图片地址，结果发现除了 xhr的请求，还有一个标签发起的请求， 把调试器的缓存关闭之后，刷新屏幕页面，重现了。

故障原因

上述页面有两个请求指向同一个 图片地址, 当img标签先行的时候，

<img src="pic.png"/>

浏览器返回了图片，但是由于img标签发起请求的时候并不会带上 Origin头，所以Aliyun OSS在返回的response header 里并没有带上 cors需要的 Access-Control-Allow-Origin 等信息，因为 标签并不受同源策略限制。 于是浏览器 cache了这个图片请求，当然也包括header信息。

当 xhr再次发起对这个图片的请求时，命中了浏览器缓存，这时候问题就出现了，header里没有告诉xhr可以信任当前域，所以浏览器拒绝了这个请求。

解决办法

最简单的办法，把两个调用地址区分开，xhr可以加个 ?xhr

所以这种异常，不是OSS的锅

浏览器需要改进么？

目前浏览器缓存策略只是根据资源地址来cache，并没有区分调用形式，以及调用时header的差异。
作为资源cache，也合情合理。

不过历史原因， 图片资源、script标签 等，浏览器一直没有对这些请求开启同源策略限制，当然也无法开启（一旦大量的站点要挂）。

有没有必要开启？ 能不能开启？ 这是另外的问题，但是Origin的头可以先带上。