javascript - canvas 安全模型是否忽略了 access-control-allow-origin header ？