验证环境:

dotnet core 2.1/Asp.net core2.1

一、作用域在中间件层 

配置的方式是在startup.cs文件Configure(IApplicationBuilder app, IHostingEnvironment env)方法中增加跨域配置。官方示例:

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

         public void Configure(IApplicationBuilder app, IHostingEnvironment env)

         {

             if (env.IsDevelopment())

             {

                 app.UseDeveloperExceptionPage();

             }

             app.UseCors(builder => builder.WithOrigins("http://example.com"));

             app.UseMvc();

         }

使用app.UseCors(builder =>builder.WithOrigins("http://example.com"));
"http://example.com"为要允许跨域的地址,WithOrigins可以支持多个地址。

官方说明app.UseCors方法设置须在app.UserMvc 或者app.Run 前。

二、跨域策略定义

可在startup.cs文件ConfigureServices(IServiceCollection services)方法中定义策略,支持定义多个策略。官方示例:

 using System;

 using Microsoft.AspNetCore.Builder;

 using Microsoft.AspNetCore.Hosting;

 using Microsoft.AspNetCore.Http;

 using Microsoft.Extensions.DependencyInjection;

 using Microsoft.Extensions.Logging;

 namespace CorsExample4

 {

     public class Startup

     {

         // This method gets called by the runtime. Use this method to add services to the container.

         // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=398940

         public void ConfigureServices(IServiceCollection services)

         {

             services.AddCors(options =>

             {

                 // BEGIN01

                 options.AddPolicy("AllowSpecificOrigins",

                 builder =>

                 {

                     builder.WithOrigins("http://example.com", "http://www.contoso.com");

                 });

                 // END01

                 // BEGIN02

                 options.AddPolicy("AllowAllOrigins",

                     builder =>

                     {

                         builder.AllowAnyOrigin();

                     });

                 // END02

                 // BEGIN03

                 options.AddPolicy("AllowSpecificMethods",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithMethods("GET", "POST", "HEAD");

                     });

                 // END03

                 // BEGIN04

                 options.AddPolicy("AllowAllMethods",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowAnyMethod();

                     });

                 // END04

                 // BEGIN05

                 options.AddPolicy("AllowHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithHeaders("accept", "content-type", "origin", "x-custom-header");

                     });

                 // END05

                 // BEGIN06

                 options.AddPolicy("AllowAllHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowAnyHeader();

                     });

                 // END06

                 // BEGIN07

                 options.AddPolicy("ExposeResponseHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithExposedHeaders("x-custom-header");

                     });

                 // END07

                 // BEGIN08

                 options.AddPolicy("AllowCredentials",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowCredentials();

                     });

                 // END08

                 // BEGIN09

                 options.AddPolicy("SetPreflightExpiration",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .SetPreflightMaxAge(TimeSpan.FromSeconds());

                     });

                 // END09

             });

         }

         // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

         public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)

         {

             loggerFactory.AddConsole();

             if (env.IsDevelopment())

             {

                 app.UseDeveloperExceptionPage();

             }

             app.UseCors("AllowSpecificOrigins");

             app.Run(async (context) =>

             {

                 await context.Response.WriteAsync("Hello World!");

             });

         }

     }

 }

使用app.UseCors("AllowSpecificOrigins");调用具体的跨域策略,“AllowSpecificOrigins”为策略名,跨域作用域在中间层上。
策略定义和使用方法详见官方的参考文章(本文最后给出地址)。

三、作用域在MVC层

在使用MVC时,官方给出的3种设置方式,分别是Action前设置、Controller前设置、全局性设置。

  • Action

在Action 方法前增加标记EnableCors(策略名称).官方示例

 [HttpGet]

 [EnableCors("AllowHeaders")]

 public IEnumerable<string> Get()

 {

     return new string[] { "value1", "value2" };

 }

EnableCors 在Microsoft.AspNetCore.Cors命名空间下。"AllowHeaders"为策略名称。

  • Controller

在Controller前增加标记EnableCors(策略名称).官方示例

[EnableCors("AllowSpecificOrigin")]

public class ValuesController : Controller
  • MVC全局(Globally)

官方说明是通过“CorsAuthorizationFilterFactory”过滤器方式给所有Controller增加跨域设置。官方示例:

 using Microsoft.AspNetCore.Mvc.Cors.Internal;

 ...

 public void ConfigureServices(IServiceCollection services)

 {

     services.AddCors(options =>

     {

      //...策略设置...

      });

     services.AddMvc();

     services.Configure<MvcOptions>(options =>

     {

         options.Filters.Add(new CorsAuthorizationFilterFactory("AllowAllMethods"));

     });

 }

CorsAuthorizationFilterFactory在命名空间Microsoft.AspNetCore.Mvc.Cors.Internal下。“AllowAllMethods”为策略名称。

  • 禁用跨域

官方说明可以使用标记“DisableCors”设置Action或Controller跨域设置不起作用。官方示例:

 [HttpGet("{id}")]

 [DisableCors]

 public string Get(int id)

 {

     return "value";

 }

DisableCors在命名空间Microsoft.AspNetCore.Cors下。

四、整体作用范围

作用范围,Middleware>Globally>Controller>Action。

生效优先顺序是Action,Controller,Globally,Middleware。即Action定义了跨域优先Controller生效,Controller优先Globally,Globally优先Middleware。

如果定义了跨域不生效,就要检查Action 和Controller 及Controller基类是否定义了其他的跨域设置。

官方参考文章:https://docs.microsoft.com/en-us/aspnet/core/security/cors?view=aspnetcore-2.1

Asp.net core 跨域设置的更多相关文章

  1. Asp.net Core 跨域配置

    一般情况WebApi都是跨域请求,没有设置跨域一般会报以下错误 No 'Access-Control-Allow-Origin' header is present on the requested ...

  2. Asp.Net Core跨域配置

    在没有设置跨域配置的时候,Ajax请求时会报以下错误 已拦截跨源请求:同源策略禁止读取位于 http://localhost:5000/Home/gettime 的远程资源.(原因:CORS 头缺少 ...

  3. C# ASP.NET WebApi 跨域设置

    概述 前后端分离开发模式,一定会遇到跨域的问题.这里收集了2种 C# Asp.Net webapi 相关的跨域解决方案,方便后续查找参考. 2021/10/28 更新: 有更加简单高效的方式推荐< ...

  4. Asp.Net WebApi 跨域设置

    跨越问题主要发生在客户端ajax请求时,为了安全设置,默认webapi是不允许ajax跨越请求的,不过有方法设置让支持跨越,我说说最常见的两种方法 一.jquery jsonp 缺点:JSONP也有局 ...

  5. .net core跨域设置

    services.AddCors(options => options.AddPolicy("AllowSameDomain", builder => builder. ...

  6. C# ASP.NET MVC/WebApi 或者 ASP.NET CORE 最简单高效的跨域设置

    概述 前面写了一篇:<C# ASP.NET WebApi 跨域设置>的文章,主要针对 ASP.NET WebApi 项目. 今天遇到 ASP.NET MVC 项目也需要设置跨域,否则浏览器 ...

  7. 连表查询都用Left Join吧 以Windows服务方式运行.NET Core程序 HTTP和HTTPS的区别 ASP.NET SignalR介绍 asp.net—WebApi跨域 asp.net—自定义轻量级ORM C#之23中设计模式

    连表查询都用Left Join吧   最近看同事的代码,SQL连表查询的时候很多时候用的是Inner Join,而我觉得对我们的业务而言,99.9%都应该使用Left Join(还有0.1%我不知道在 ...

  8. ASP.NET WebAPI2复杂请求跨域设置

    ASP.Net Core的跨域设置比较简单  官方都整合了 具体的参见微软官方文档: https://docs.microsoft.com/zh-cn/aspnet/core/security/cor ...

  9. .net core 下的跨域设置

    1.CORS中间件处理跨源请求.以下代码为具有指定源的整个应用程序启用CORS: public void Configure(IApplicationBuilder app, IHostingEnvi ...

随机推荐

  1. c#: 界面多语言动态切换简单实现

    终于有空整理下多语言实现思路.查阅已有方案,有用不同resx文件的,有每个控件动态设置的,有用反射去整的,颇为繁琐. 结合项目中实现方法,并做简化,实现通用的多语言切换方案,以做备忘. 它支持语言自定 ...

  2. cookie、sesstion、strorage

    1. cookie 第一:每个特定的域名下最多生成20个cookie  (数量上) <IE6: 20    |   >ie7:50   |  firefox: 50     |   IE ...

  3. node.js中process进程的概念和child_process子进程模块的使用

    进程,你可以把它理解成一个正在运行的程序.node.js中每个应用程序都是进程类的实例对象. node.js中有一个 process 全局对象,通过它我们可以获取,运行该程序的用户,环境变量等信息. ...

  4. .Net 获取日期所属于一年中的第几周

    关键代码: public static int WeekOfYear(DateTime dt, CultureInfo ci) { //强制设置周一是每周的第一天 return ci.Calendar ...

  5. https 网络传输安全架设

    1:在集群的情况下,不能在tomcat上 架构ssl 而是在总路由nginx上架设具体实现如下截图 非对称加密是当前流行的加密传输方式 证书是什么  . 在浏览器证书查看 证书是访问请求时 https ...

  6. osg探究补充:Node::accept(NodeVisitor& nv)及NodeVisitor简介

    前言 在前几节中,我自己觉得讲的比较粗糙,因为实在是时间上不是很充足,今天我想弥补一下,希望不是亡羊补牢.我们在osgViewer::Viewer::eventTraversal()函数中经常看到这么 ...

  7. mysql自动删除90天前数据

    #coding:utf-8import MySQLdb #方法1直接在Navicat中添加计划任务#DELETE FROM message2 where SEND_TIME < UNIX_TIM ...

  8. Delphi 域名解析为IP地址

    花生壳:1.LJSZForm-Lable1-Caption改成 “IP地址或域名:”2.LJSZForm-BitBtn1Click-注释掉--else if IsIP(Trim(IPEdit.Text ...

  9. TensorFlow 运行模型--会话(Session)

    会话模式一: 需要明确调用会话生成函数和关闭函数 # 创建一个会话 sess = tf.Session() # 使用创建好的会话进行运算 sess.run("要运算的对象") # ...

  10. Maths | 二次型求偏导