MVC5 WebAPI 跨域处理

问题描述：

在使用ASP.NET的MVC5进行WebAPI开发的时候，在跨域的情况下会报跨域的错，

No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:9090' is therefore not allowed access.

解决办法（一）：

服务端设置响应头,在webapi的web.config做如下设置，加在<system.webServer>节点下

<httpProtocol>
      <!--跨域配置开始-->
      <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*" />
        <!--支持全域名访问，不安全，部署后需要固定限制为客户端网址-->
        <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />
        <!--支持的http 动作-->
        <add name="Access-Control-Allow-Headers" value="Content-Type,X-Requested-With,token" />
        <!--响应头 请按照自己需求添加 这里新加了token这个headers-->
        <add name="Access-Control-Request-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />
        <!--允许请求的http 动作-->
      </customHeaders>
      <!--跨域配置结束-->
    </httpProtocol>

配置完启动server，然后再次访问

再次报错

Object {readyState: 4, responseText: "{"Message":"已拒绝为此请求授权。"}", responseJSON: Object, status: 401, statusText: "Unauthorized"}

解决办法是：

Controller加上[AllowAnonymous]特性

修改后重新启动，再次访问，成功！

解决办法（二）：

[EnableCors(origins: "*", headers: "*", methods: "*")]

Web API 中对 CORS 的支持是一个完整框架，允许应用程序定义 CORS 请求的权限。 该框架围绕一个策略方案展开，该策略方案可让您指定针对进入应用程序的任何给定请求而允许的 CORS 功能。

首先，为了获取该 CORS 框架，您必须从 Web API 应用程序引用 CORS 库（默认情况下，Visual Studio 2013 中的任何 Web API 模板都不引用这些库）。 该 Web API CORS 框架通过 NuGet 作为 Microsoft.AspNet.WebApi.Cors 程序包提供。 在nuget中输入

Install-Package Microsoft.AspNet.WebApi.Cors

注意 Web api 2对,net framework的要求必须是4.5以上，安装完上面的package后，会发现引用中多了两个重要的包，如下图所示

接下来，为了表达该策略，Web API 提供了一个名为 EnableCorsAttribute 的自定义属性类。 此类包含允许的域、HTTP 方法、请求标头、响应标头以及是否允许使用凭据等方面的属性（它们对前面所述的 CORS 规范的所有详细信息进行建模）。

最后，为了让 Web API CORS 框架处理 CORS 请求并发出适当的 CORS 响应标头，该类必须检查进入应用程序的每个请求。 Web API 通过消息处理程序提供用于这种拦截操作的扩展点。 Web API CORS 框架会相应地实现一个名为 CorsMessageHandler 的消息处理程序。 对于 CORS 请求，该处理程序会查询在所调用方法的属性中表达的策略，并发出适当的 CORS 响应标头。

EnableCorsAttribute。EnableCorsAttribute 类就是应用程序表达其 CORS 策略的方式。EnableCorsAttribute 类有一个可接受三个或四个参数的重载构造函数。 这些参数（依次）为：

1. 允许域列表
2. 允许请求标头列表
3. 允许 HTTP 方法列表
4. 允许响应标头列表（可选）

还有一个允许使用凭据的属性 (Supports­Credentials) 以及另一个用于指定预检缓存持续时间值的属性 (PreflightMaxAge)。

以vs2013建立的默认api程序为例，建完webapi引用程序后在Controller文件夹下会自动生成两个控制区，一个HomeController和一个ValueController，我们主要看一下ValueControll，这个控制器继承了ApiController，可见是一个webapi，我们在valueController上添加一个全局的 EnableCors属性，以试它支持跨域，如下图所示

请注意，每个构造函数参数都是一个字符串。 通过指定逗号分隔列表，可以表示多个值。 如果您想允许所有域、请求标头或 HTTP 方法，则可以使用“*”作为值（对于响应标头仍须显式指定）。

除在方法级别应用 EnableCors 属性外，还可以在类级别应用该属性，或将其全局应用于应用程序。 应用该属性的级别会在 Web API 代码中为该级别及下面级别的所有请求配置 CORS。 例如，如果在方法级别应用该策略，则该策略仅应用于该操作的请求，而如果在类级别应用该策略，则该策略将应用于对该控制器的所有请求。 最后，如果全局应用该策略，则该策略将应用于所有请求。

如果在多个位置存在策略，则会使用“最接近的”属性，并忽略其他属性（优先顺序是方法、类、全局）。 如果您已在较高级别上应用策略，但随后想在较低级别上排除某一请求，则可以使用名为 DisableCorsAttribute 的另一个属性类。 此属性实质上是一个没有允许权限的策略。

如果在您不想允许 CORS 的控制器上有其他方法，则有两个选择。 首先，您可在 HTTP 方法列表中显式指定。 或者，您可以保留通配符，但使用 DisableCors 属性来排除 Delete 方法。

还有个地方特别容易忽略，就是安装完了，代码上也加上了这个注解了，但是还是不好用，那就去检查自己的
App_Start下的WebApiConfig.cs文件，里面是不是加上了这个EnableCors