这篇文章介绍如何允许跨域访问

浏览器安全不允许不同域名的网页之间发送请求。这种限制叫做同源策略(the same-origin policy)。

同源策略可以防止一个恶意的站点读取另一个站点的敏感数据。

有时候,你想允许网站发送跨域的请求到你的应用。

Cross Origin Resource Sharing ( CORS ) :

  • 是一个W3C的标准;即允许放宽同源策略
  • 不是一个安全的功能,CORS 放宽了安全性。允许跨域,会让API更不安全
  • 允许一个服务明确的允许一些跨域请求,而拒绝另外一些
  • 比早些的技术(例如JSONP)更安全,更灵活

1.那么同源指的是什么呢

如果两个URLs是同源的,那么它们有相同的协议,主机(域名),端口

下面两个是同源的URLs:

  • https://example.com/foo.html
  • https://example.com/bar.html

下面的这些相比于前面的两个URL,有不同的源:

  • https://example.net – Different domain 不同的域名
  • https://www.example.com/foo.html – Different subdomain 不同的子域名
  • http://example.com/foo.html – Different scheme  不同的协议
  • https://example.com:9000/foo.html – Different port    不同的端口号

IE浏览器考虑同源问题的时候,不会考虑端口号

2.带策略的CORS 和中间件

CORS中间件处理跨域请求。下面的代码允许指定的源能对整个应用进行跨域请求

public class Startup

{

    public Startup(IConfiguration configuration)

    {

        Configuration = configuration;

    }

    readonly string MyAllowSpecificOrigins = "_myAllowSpecificOrigins";

    public IConfiguration Configuration { get; }

    public void ConfigureServices(IServiceCollection services)

    {
     //AddCors方法的调用会把CORS服务加到应用的服务容器中(service container);

        services.AddCors(options =>

        {

            options.AddPolicy(MyAllowSpecificOrigins,

            builder =>

            {

                builder.WithOrigins("http://example.com",   //CorsPolicyBuilder方法可以链式调用方法,

                                    "http://www.contoso.com");

            });

        });

        services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

    }

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)

    {

        if (env.IsDevelopment())

        {

            app.UseDeveloperExceptionPage();

        }

        else

        {

            app.UseHsts();

        }

        app.UseCors(MyAllowSpecificOrigins);    //这个代码会把CORS策略通过CORS中间件应用到这个应用的所有终端(endpoints);即把跨域作用到整个应用
        //注意:1.UseCors必须在UseMvc之前被调用;2. URL末尾不能加/ ;这个url指的是 builder.WithOrigins(url)中的url


        app.UseHttpsRedirection();

        app.UseMvc();

    }

}

这段代码做了下面的操作

  • 设置策略名为_myAllowSpecificOrigins,这个名字是随意取的
  • 调用UseCors 扩展方法来允许跨域
  • 调用带有lambda表达式的 AddCors 方法。lambda表达式取得一个 CorsPlicyBuild对象,进行一些设置

CorsPolicyBuilder方法可以链式调用方法:

builder.WithOrigins("http://example.com",

                                "http://www.contoso.com")

                                .AllowAnyHeader()

                                .AllowAnyMethod();

测试跨域

3.使用[EnableCors]属性设置允许跨域

[EnableCors]属性提供了另一种方式设置跨域。即可以只设置选择的终端,而不是所有的终端.

这里不同于上面的那种方式,上面的方式是应用的所有终端都会被设置允许跨域;

而这里只是设置了[EnableCors]属性的终端;

使用[EnableCors]来指定默认的策略,而[EnableCors("{Policy String}")] 指定了特定的策略;

[EnableCors]属性应用于:

  • Razor Page PageModel
  • Controller
  • Controller action method

你可以使用[EnableCors]属性应用不同的策略到 controller/page-model/action 中;

当[EnableCors]属性应用到 controller/page-model/action ,并且CORS在中间件被允许了(指【Enable("{Policy String}")】的方式),这两种策略就都被使用了;

不推荐结合使用策略;使用[EnableCors]属性或者中间件,而不是在相同的应用中使用两个

下面的代码给每个方法使用了一种策略

[Route("api/[controller]")]

[ApiController]

public class WidgetController : ControllerBase

{

    // GET api/values

    [EnableCors("AnotherPolicy")]

    [HttpGet]

    public ActionResult<IEnumerable<string>> Get()

    {

        return new string[] { "green widget", "red widget" };

    }

    // GET api/values/5

    [EnableCors]        // Default policy.

    [HttpGet("{id}")]

    public ActionResult<string> Get(int id)

    {

        switch (id)

        {

            case :

                return "green widget";

            case :

                return "red widget";

            default:

                return NotFound();

        }

    }

}

下面的代码创建了一个跨越默认策略和一个名字叫“AnotherPolicy”的策略:

public class StartupMultiPolicy

{

    public StartupMultiPolicy(IConfiguration configuration)

    {

        Configuration = configuration;

    }

    public IConfiguration Configuration { get; }

    public void ConfigureServices(IServiceCollection services)

    {

        services.AddCors(options =>

        {

            options.AddDefaultPolicy(

                builder =>

                {

                    builder.WithOrigins("http://example.com",

                                        "http://www.contoso.com");

                });

            options.AddPolicy("AnotherPolicy",

                builder =>

                {

                    builder.WithOrigins("http://www.contoso.com")

                                        .AllowAnyHeader()

                                        .AllowAnyMethod();

                });

        });

        services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

    }

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)

    {

        if (env.IsDevelopment())

        {

            app.UseDeveloperExceptionPage();

        }

        else

        {

            app.UseHsts();

        }

        app.UseHttpsRedirection();

        app.UseMvc();

    }

}

另,其实还有[DisableCors]属性可以禁止CORS,这里先暂时不做讲解

...未完,待续

asp.net core 系列之允许跨越访问(Enable Cross-Origin Requests:CORS)的更多相关文章

  1. Ajax跨域问题及解决方案 asp.net core 系列之允许跨越访问(Enable Cross-Origin Requests:CORS) c#中的Cache缓存技术 C#中的Cookie C#串口扫描枪的简单实现 c#Socket服务器与客户端的开发(2)

    Ajax跨域问题及解决方案   目录 复现Ajax跨域问题 Ajax跨域介绍 Ajax跨域解决方案 一. 在服务端添加响应头Access-Control-Allow-Origin 二. 使用JSONP ...

  2. asp.net core系列 39 Web 应用Razor 介绍与详细示例

    一. Razor介绍 在使用ASP.NET Core Web开发时, ASP.NET Core MVC 提供了一个新特性Razor. 这样开发Web包括了MVC框架和Razor框架.对于Razor来说 ...

  3. asp.net core系列 38 WebAPI 返回类型与响应格式--必备

    一.返回类型 ASP.NET Core 提供以下 Web API Action方法返回类型选项,以及说明每种返回类型的最佳适用情况: (1) 固定类型 (2) IActionResult (3) Ac ...

  4. asp.net core系列 36 WebAPI 搭建详细示例

    一.概述 HTTP不仅仅用于提供网页.HTTP也是构建公开服务和数据的API强大平台.HTTP简单灵活且无处不在.几乎任何你能想到的平台都有一个HTTP库,因此HTTP服务可以覆盖广泛的客户端,包括浏 ...

  5. asp.net core系列 31 EF管理数据库架构--必备知识 反向工程

    一.   反向工程 反向工程是基于数据库架构,生成的实体类和DbContext类代码的过程,对于Visual Studio开发,建议使用PMC.对于其他开发环境,请选择.NET Core CLI工具( ...

  6. asp.net core 系列 14 错误处理

    一.概述 本文介绍处理 ASP.NET Core 应用中常见错误的一些方法.主要是关于:开发环境异常页:非开发环境配置自定义异常处理页:配置状态代码页(没有正文响应,http状态400~599的). ...

  7. asp.net core 系列 8 Razor框架路由(下)

    三.页面路由操作约定 接着上篇讲asp.net core 系列 7 Razor框架路由.在上篇继续第三节 "页面路由操作约定" 的最后一小节 AddPageRoute . 3.3. ...

  8. 技术的正宗与野路子 c#, AOP动态代理实现动态权限控制(一) 探索基于.NET下实现一句话木马之asmx篇 asp.net core 系列 9 环境(Development、Staging 、Production)

    黄衫女子的武功似乎与周芷若乃是一路,飘忽灵动,变幻无方,但举手抬足之间却是正而不邪,如说周芷若形似鬼魅,那黄衫女子便是态拟神仙. 这段描写出自<倚天屠龙记>第三十八回. “九阴神抓”本是& ...

  9. WPF中的常用布局 栈的实现 一个关于素数的神奇性质 C# defualt关键字默认值用法 接口通俗理解 C# Json序列化和反序列化 ASP.NET CORE系列【五】webapi整理以及RESTful风格化

    WPF中的常用布局   一 写在开头1.1 写在开头微软是一家伟大的公司.评价一门技术的好坏得看具体的需求,没有哪门技术是面面俱到地好,应该抛弃对微软和微软的技术的偏见. 1.2 本文内容本文主要内容 ...

随机推荐

  1. Leetcode 之Count and Say(35)

    很有意思的一道题,不好想啊. string getNext(string &s) { ]; ; stringstream ss; ; i < s.size(); i++) { if (s ...

  2. [PAT] 1147 Heaps(30 分)

    1147 Heaps(30 分) In computer science, a heap is a specialized tree-based data structure that satisfi ...

  3. PHP7.3发布啦

    作为PHP5的最后一个版本,也是目前使用最广泛的PHP版本,PHP 5.6始于公元2014年(不是1804年,嘿嘿),其第一个测试版PHP 5.6 alpha 1版于2014年1月发布.随机产生了第一 ...

  4. 智能社官网顶部导航实现demo

    从智能社的blue老师公开课中学习到了很多,在此表示感谢. 这个导航很好玩,于是就想实现一个. html <div id="box"> <ul> <l ...

  5. centos 7 开机启动配置

    centos 7 开机启动 1 开机启动配置文件位于/usr/lib/systemd/system/ 2 nginx的配置[Unit]Description=nginx - high performa ...

  6. centos 时间日期设置

    date  时间窗口 date -s '2015-02-02 10:10:00'  更改年月日小时分秒 date -s 10:00:02  只更改时间 不更改年月 clock -w 写入系统时间 hw ...

  7. php类的定义

    <?php /** * Created by PhpStorm. */ class People { //支持带参数 //类的构造方法 /** * Man constructor. * @par ...

  8. iwebshop 增加页面访问次数实时

    class里面的主控制器初始化时添加如下代码 //更新页面访问次数 $siteConfig = new Config('site_config'); $sFilePath =$siteConfig-& ...

  9. 51nod 1295 XOR key-区间异或最大值-可持久化01Trie树(模板)

    1295 XOR key 2 秒 262,144 KB 160 分 6 级题   给出一个长度为N的正整数数组A,再给出Q个查询,每个查询包括3个数,L, R, X (L <= R).求A[L] ...

  10. Java中分拣存储的demo

      //Letter.java package yzhou.map; /** * * @author 洋 * */ public class Letter { private String name; ...