验证环境:

dotnet core 2.1/Asp.net core2.1

一、作用域在中间件层 

配置的方式是在startup.cs文件Configure(IApplicationBuilder app, IHostingEnvironment env)方法中增加跨域配置。官方示例:

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

         public void Configure(IApplicationBuilder app, IHostingEnvironment env)

         {

             if (env.IsDevelopment())

             {

                 app.UseDeveloperExceptionPage();

             }

             app.UseCors(builder => builder.WithOrigins("http://example.com"));

             app.UseMvc();

         }

使用app.UseCors(builder =>builder.WithOrigins("http://example.com"));
"http://example.com"为要允许跨域的地址,WithOrigins可以支持多个地址。

官方说明app.UseCors方法设置须在app.UserMvc 或者app.Run 前。

二、跨域策略定义

可在startup.cs文件ConfigureServices(IServiceCollection services)方法中定义策略,支持定义多个策略。官方示例:

 using System;

 using Microsoft.AspNetCore.Builder;

 using Microsoft.AspNetCore.Hosting;

 using Microsoft.AspNetCore.Http;

 using Microsoft.Extensions.DependencyInjection;

 using Microsoft.Extensions.Logging;

 namespace CorsExample4

 {

     public class Startup

     {

         // This method gets called by the runtime. Use this method to add services to the container.

         // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=398940

         public void ConfigureServices(IServiceCollection services)

         {

             services.AddCors(options =>

             {

                 // BEGIN01

                 options.AddPolicy("AllowSpecificOrigins",

                 builder =>

                 {

                     builder.WithOrigins("http://example.com", "http://www.contoso.com");

                 });

                 // END01

                 // BEGIN02

                 options.AddPolicy("AllowAllOrigins",

                     builder =>

                     {

                         builder.AllowAnyOrigin();

                     });

                 // END02

                 // BEGIN03

                 options.AddPolicy("AllowSpecificMethods",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithMethods("GET", "POST", "HEAD");

                     });

                 // END03

                 // BEGIN04

                 options.AddPolicy("AllowAllMethods",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowAnyMethod();

                     });

                 // END04

                 // BEGIN05

                 options.AddPolicy("AllowHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithHeaders("accept", "content-type", "origin", "x-custom-header");

                     });

                 // END05

                 // BEGIN06

                 options.AddPolicy("AllowAllHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowAnyHeader();

                     });

                 // END06

                 // BEGIN07

                 options.AddPolicy("ExposeResponseHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithExposedHeaders("x-custom-header");

                     });

                 // END07

                 // BEGIN08

                 options.AddPolicy("AllowCredentials",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowCredentials();

                     });

                 // END08

                 // BEGIN09

                 options.AddPolicy("SetPreflightExpiration",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .SetPreflightMaxAge(TimeSpan.FromSeconds());

                     });

                 // END09

             });

         }

         // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

         public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)

         {

             loggerFactory.AddConsole();

             if (env.IsDevelopment())

             {

                 app.UseDeveloperExceptionPage();

             }

             app.UseCors("AllowSpecificOrigins");

             app.Run(async (context) =>

             {

                 await context.Response.WriteAsync("Hello World!");

             });

         }

     }

 }

使用app.UseCors("AllowSpecificOrigins");调用具体的跨域策略,“AllowSpecificOrigins”为策略名,跨域作用域在中间层上。
策略定义和使用方法详见官方的参考文章(本文最后给出地址)。

三、作用域在MVC层

在使用MVC时,官方给出的3种设置方式,分别是Action前设置、Controller前设置、全局性设置。

  • Action

在Action 方法前增加标记EnableCors(策略名称).官方示例

 [HttpGet]

 [EnableCors("AllowHeaders")]

 public IEnumerable<string> Get()

 {

     return new string[] { "value1", "value2" };

 }

EnableCors 在Microsoft.AspNetCore.Cors命名空间下。"AllowHeaders"为策略名称。

  • Controller

在Controller前增加标记EnableCors(策略名称).官方示例

[EnableCors("AllowSpecificOrigin")]

public class ValuesController : Controller
  • MVC全局(Globally)

官方说明是通过“CorsAuthorizationFilterFactory”过滤器方式给所有Controller增加跨域设置。官方示例:

 using Microsoft.AspNetCore.Mvc.Cors.Internal;

 ...

 public void ConfigureServices(IServiceCollection services)

 {

     services.AddCors(options =>

     {

      //...策略设置...

      });

     services.AddMvc();

     services.Configure<MvcOptions>(options =>

     {

         options.Filters.Add(new CorsAuthorizationFilterFactory("AllowAllMethods"));

     });

 }

CorsAuthorizationFilterFactory在命名空间Microsoft.AspNetCore.Mvc.Cors.Internal下。“AllowAllMethods”为策略名称。

  • 禁用跨域

官方说明可以使用标记“DisableCors”设置Action或Controller跨域设置不起作用。官方示例:

 [HttpGet("{id}")]

 [DisableCors]

 public string Get(int id)

 {

     return "value";

 }

DisableCors在命名空间Microsoft.AspNetCore.Cors下。

四、整体作用范围

作用范围,Middleware>Globally>Controller>Action。

生效优先顺序是Action,Controller,Globally,Middleware。即Action定义了跨域优先Controller生效,Controller优先Globally,Globally优先Middleware。

如果定义了跨域不生效,就要检查Action 和Controller 及Controller基类是否定义了其他的跨域设置。

官方参考文章:https://docs.microsoft.com/en-us/aspnet/core/security/cors?view=aspnetcore-2.1

Asp.net core 跨域设置的更多相关文章

  1. Asp.net Core 跨域配置

    一般情况WebApi都是跨域请求,没有设置跨域一般会报以下错误 No 'Access-Control-Allow-Origin' header is present on the requested ...

  2. Asp.Net Core跨域配置

    在没有设置跨域配置的时候,Ajax请求时会报以下错误 已拦截跨源请求:同源策略禁止读取位于 http://localhost:5000/Home/gettime 的远程资源.(原因:CORS 头缺少 ...

  3. C# ASP.NET WebApi 跨域设置

    概述 前后端分离开发模式,一定会遇到跨域的问题.这里收集了2种 C# Asp.Net webapi 相关的跨域解决方案,方便后续查找参考. 2021/10/28 更新: 有更加简单高效的方式推荐< ...

  4. Asp.Net WebApi 跨域设置

    跨越问题主要发生在客户端ajax请求时,为了安全设置,默认webapi是不允许ajax跨越请求的,不过有方法设置让支持跨越,我说说最常见的两种方法 一.jquery jsonp 缺点:JSONP也有局 ...

  5. .net core跨域设置

    services.AddCors(options => options.AddPolicy("AllowSameDomain", builder => builder. ...

  6. C# ASP.NET MVC/WebApi 或者 ASP.NET CORE 最简单高效的跨域设置

    概述 前面写了一篇:<C# ASP.NET WebApi 跨域设置>的文章,主要针对 ASP.NET WebApi 项目. 今天遇到 ASP.NET MVC 项目也需要设置跨域,否则浏览器 ...

  7. 连表查询都用Left Join吧 以Windows服务方式运行.NET Core程序 HTTP和HTTPS的区别 ASP.NET SignalR介绍 asp.net—WebApi跨域 asp.net—自定义轻量级ORM C#之23中设计模式

    连表查询都用Left Join吧   最近看同事的代码,SQL连表查询的时候很多时候用的是Inner Join,而我觉得对我们的业务而言,99.9%都应该使用Left Join(还有0.1%我不知道在 ...

  8. ASP.NET WebAPI2复杂请求跨域设置

    ASP.Net Core的跨域设置比较简单  官方都整合了 具体的参见微软官方文档: https://docs.microsoft.com/zh-cn/aspnet/core/security/cor ...

  9. .net core 下的跨域设置

    1.CORS中间件处理跨源请求.以下代码为具有指定源的整个应用程序启用CORS: public void Configure(IApplicationBuilder app, IHostingEnvi ...

随机推荐

  1. C#Winform的DEV下拉下拉控件介绍

    LookupEdit 下拉单选,可搜索,下拉展示为一个table: ComboxEdit 下拉单选,可当做text使用,输入数据源中没有的项,只有显示值: CheckcomboxEdit 下拉多选,可 ...

  2. RFID数据清洗与数据清洗的区别

    RFID数据清洗和一般数据清洗的不同: RFID数据清洗已经跨越到硬件范畴!造成脏数据的原因是硬件原理和硬件所处环境本身!要提高RFID数据清洗能力,就必须同时研究技术原理和环境本身之间的互动关系,而 ...

  3. 516. Longest Palindromic Subsequence最长的不连续回文串的长度

    [抄题]: Given a string s, find the longest palindromic subsequence's length in s. You may assume that ...

  4. Hadoop格式化namenode 出错 Error: A JNI error has occurred, please check your installation and try again Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/hadoop/security/authorize/Refr

    一般是修改配置文件:etc/hadoop/hadoop-env.sh的时候出现的错误 export JAVA_HOME=/usr/jdk export HADOOP_COMMON_HOME=~/had ...

  5. 深入理解JVM(六)类文件结构

    6.1 关于类文件 1.class文件的一次编译,到处运行的跨平台性: 2.JVM不止有跨平台性,还有跨语言性,不管是JRuby还是Groovy写出来的程序,只要编译出符合JVM规范的class文件就 ...

  6. 201771010142 张燕 Java的基本程序设计结构第二周学习总结

    第三章 Java的基本程序设计结构 第一部分 理论知识学习部分 一 基本知识: 1.标识符:由字母.下划线,美元符号和数字组成,第一个符号不能为数字,可以用作类名.变量名.方法名.数组名和文件名等. ...

  7. 开启hadoop集群

    首先开启zookeeper zkServer.sh start start-all

  8. lua的table转为excel表格的方法

    项目中需要用到转表工具,由于没有直接的转表工具,而且嵌套的table(table里面嵌套了多层表格与数组).无奈之下,只好采用折衷的方法,先将table表格转为json数据,再用在线转表工具将json ...

  9. JavaScript:原生模拟$.ajax以及jsonp

    现实项目中,常常会用到请求,但是在考虑低版本的浏览器时,promise相关的axios,fetch这类第三方库的支持率就不那么好了,再考虑到最大的一个问题,跨域,更是让人头痛,虽然也有fetch-js ...

  10. 13. The Impact of New Technology on Business 新科技对商务的影响

    13. The Impact of New Technology on Business 新科技对商务的影响 (1) New technology links the world as never b ...