video跨域加载失败的根本原因是像素数据被标记为“污染”,禁止JS读取;需服务端配置CORS头(含Access-Control-Allow-Origin、Allow-Headers: Range、Expose-Headers: Content-Range),前端video标签必须设crossorigin="anonymous"且在src前设置,同时确保视频触发loadeddata事件后再操作canvas。
video 元素跨域加载会失败浏览器对 video 的跨域资源有严格限制:当视频文件(如 MP4、WebM)托管在不同源(协议、域名、端口任一不同)的服务器上,且服务端未显式允许跨域访问时,video 元素虽能加载并播放,但调用 video.captureStream()、读取 video.videoWidth/video.videoHeight、或使用 canvas.drawImage() 绘制帧时会触发 SecurityError: The canvas has been tainted by cross-origin data 错误。根本原因不是 video 本身无法播放,而是其像素数据被标记为“污染”,禁止 JS 读取。
CORS 响应头这是最基础且不可绕过的前提。仅靠前端加 crossorigin 属性无效,服务端必须返回合法的 CORS 头。常见错误是只加了 Access-Control-Allow-Origin: *,却忽略了 Access-Control-Allow-Headers 或预检(OPTIONS)处理不完整。
location ~ \.(mp4|webm|ogg)$ {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'Range';
add_header 'Access-Control-Expose-Headers' 'Content-Range';
}Range 请求头必须被允许(视频拖动依赖分片请求),Content-Range 必须暴露(否则浏览器无法解析分块响应)Access-Control-Allow-Origin 不能为 *,必须指定具体域名,并添加 Access-Control-Allow-Credentials: true
crossorigin 不是布尔属性,值必须明确指定,否则等同于未设置。常见错误是写成 或 (后者正确但易被忽略引号)。
anonymous 表示不发送 Cookie/认证信息;若需携带凭证,改用 use-credentials,但此时服务端 Access-Control-Allow-Origi
n 不能为 
n*
src 设置前就存在,动态设置无效(例如先创建 video 元素再赋值 crossorigin,再设 src,仍会失败)即使服务端头和 HTML 属性都正确,canvas.drawImage(video, ...) 仍可能报错,原因常被忽略:
loadeddata 或 canplay 事件后再绘制——过早操作会导致 canvas 被污染Range 头的请求,需在规则中放行视频分片请求真正难的不是加个属性或配个头,而是确认整个链路——从 DNS 解析、CDN 缓存策略、服务端中间件(如 Express 的 CORS 中间件是否覆盖静态路径)、到浏览器 DevTools 的 Network 面板里每个视频请求的响应头是否完整——全部一致且生效。