CORS 跨域問題排查清單（m3u8 / ts / key）

1) 先确认不是只有 m3u8 配了 CORS

很多人只给 m3u8 清單加了 CORS 头，但忘了 TS 分片、字幕文件或加密密钥。浏覽器是逐请求校驗的，任何一類资源缺头都会導致播放失败。

如果你看到的是“清單能拿到、视頻不開始”或者“播几秒就失败”，很可能就是某个後续资源没返回正确的跨域响應头。

2) 检查 CDN、缓存层和源站是否把响應头改掉了

有些站點源站本身返回了正确的 CORS 头，但 CDN 回源後做了缓存、合並或重写，最终邊缘节點實际返回给浏覽器的头已經变了。

建議分别在浏覽器、curl 和不同地區节點上取一次响應头，确认問題是全局性的，还是只在某几个邊缘节點出现。

3) 注意預检、Cookie 和 Authorization 头的影响

如果播放请求帶了 Cookie、自定义 Header、Authorization 或特殊 fetch 选項，跨域問題就不再只是简单 GET 请求那么直接，預检请求本身也可能失败。

這類情况下要一起检查允许的方法、允许的请求头、凭证策略，以及是否錯誤地把 `*` 和帶凭证请求混用。

4) 建議按這个顺序快速驗证

确保清單、分片、密钥都返回一致的跨域策略，再排除缓存和預检差异。

• 先看 m3u8、分片、密钥三類资源是否都返回 Access-Control-Allow-Origin
• 再看跨域預检是否放行實际使用的方法與请求头
• 最後确认 CDN 回源和缓存层没有覆盖或丢失 CORS 头

部署建議：把 CORS 校驗纳入发布流程

如果你每次上線都手工检查 CORS，极易遗漏 key、字幕或缩略图等非主路径资源。建議把跨域响應头检查加入 CI 或发布前巡检脚本。

對于 CDN 多层缓存架构，建議在邊缘层和回源层分别驗收，避免某一层覆盖掉上游响應头導致偶发跨域問題。

常见誤區

在處理「M3U8 跨域錯誤怎么解决？CORS 排查清單（m3u8 / ts / key）」相關問題時，最常见的誤區是只盯着单一报錯文本，而忽略時间線和上下文。

正确做法是结合事件日誌、分片状態、網络环境和復现条件一起分析，避免“看起来像同一个錯，實际是不同根因”的情况。

推荐排查清單

建議按固定顺序执行检查，先排除輸入與权限問題，再排除網络與源站問題，最後再看播放器策略與客户端兼容。

• 确认鏈接可访问且内容格式正确
• 检查鉴权参数和跨域响應头是否完整
• 觀察分片失败是否连续、是否集中在某清晰度或节點
• 结合趋勢图判断是瞬時抖动还是持续异常
• 導出調試快照並记錄发生時间，便于跨团队协作