目录

# 前言

.Net 通过设置Access-Control-Allow-Origin来实现跨域访问,具体哪里可以设置Access-Control-Allow-Origin呢?

  1. web.config中可以设置;
  2. 在IIS服务器站点的功能视图中设置HTTP响应标头;
  3. 通过nginx代理服务器进行设置;
  4. 在每个api接口上添加响应头;
  5. 写一个拦截器,应用到所有控制器上,在拦截器里控制来访域名,动态设置Access-Control-Allow-Origin的值;

本文主要详细说下第四种和第五种方式,第五种方式也是对第四种方式的一种封装;

# 为每个API接口单独添加响应头

1、针对 ASP.NET MVC 项目的Controllers

public class Default1Controller : Controller

{

    public ActionResult Test()

    {

        ControllerContext.HttpContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");

        /*

            --Your code

        */

        return Json("hello");

    }

}

2、针对 ASP.NET Web API项目的Controllers

public class TestController : ApiController

{

    public HttpResponseMessage Get(int id)

    {

        var response = Request.CreateResponse(HttpStatusCode.OK, new {Name="lily",age=10});

        response.Headers.Add("Access-Control-Allow-Origin", "*");

        //response.Headers.Add("X-Pagination", "TestHeader");

        //response.Headers.Add("Access-Control-Expose-Headers", "X-Pagination");

        return response;

    }

}

3、针对ASP.NET Web Forms项目中的处理程序

public class TestHandler : IHttpHandler

{

    public void ProcessRequest(HttpContext context)

    {

        context.Response.AddHeader("Access-Control-Allow-Origin", "http://example.com");

        context.Response.AddHeader("Access-Control-Allow-Headers", "*");

        context.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");

        context.Response.AddHeader("Access-Control-Allow-Credentials", "true");

        //context.Response.AddHeader("TestHeaderToExpose", "test");

        //context.Response.AddHeader("Access-Control-Expose-Headers", "TestHeaderToExpose");

        context.Response.ContentType = "text/plain";

        context.Response.Write("Hello World");

    }

    public bool IsReusable

    {

        get

        {

            return false;

        }

    }

}

# 封装一个拦截器,便于应用到控制器及接口上

1、针对 ASP.NET MVC 项目的Controllers

创建一个attribute:

using System.Web.Mvc;

namespace AllowCross.App_Code

{

    public class AllowCrossSiteJsonAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuting(ActionExecutingContext filterContext)

        {

            filterContext.RequestContext.HttpContext.Response.AddHeader("Access-Control-Allow-Origin", "*");

            //actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, OPTIONS");

            //actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Headers", "*");

            //actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Credentials", "true");

            //context.Response.AddHeader("TestHeader", "test");

            //actionExecutedContext.Response.Headers.Add("Access-Control-Expose-Headers", "TestHeader");

            base.OnActionExecuting(filterContext);

        }

    }

}

将该attribute添加到action上:

using AllowCross.App_Code;

namespace AllowCross.Controllers

{

    public class Default1Controller : Controller

    {

        [AllowCrossSiteJson]

        public ActionResult Test()

        {

            return Json("hello");

        }

    }

}

2、针对 ASP.NET Web API项目

创建一个attribute:

using System.Web.Http.Filters;

namespace WepApiTest.App_Code

{

    public class AllowCrossSiteJsonAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)

        {

            if (actionExecutedContext.Response != null)

            {

                actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");

            	//actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, OPTIONS");

            	//actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Headers", "*");

            	//actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Credentials", "true");

            	//context.Response.AddHeader("TestHeader", "test");

            	//actionExecutedContext.Response.Headers.Add("Access-Control-Expose-Headers", "TestHeader");

            }

            base.OnActionExecuted(actionExecutedContext);

        }

    }

}

将该attribute添加到acion上:

using WepApiTest.App_Code;

namespace WepApiTest.Controllers

{

    public class DefaultController : ApiController

    {

        [AllowCrossSiteJson]

        public IEnumerable<string> Get()

        {

            return new string[] { "value1", "value2" };

        }

    }

}

也可以将该attribute添加到整个controller上:

using WepApiTest.App_Code;

namespace WepApiTest.Controllers

{

    [AllowCrossSiteJson]

    public class DefaultController : ApiController

    {

        public IEnumerable<string> Get()

        {

            return new string[] { "value1", "value2" };

        }

    }

}

3、针对 ASP.NET Web API 2 还可以使用库:Microsoft.AspNet.WebApi.Cors

3.1 使用nuget安装Microsoft.AspNet.WebApi.Cors

使用命令:

Install-Package Microsoft.AspNet.WebApi.Cors

使用管理器:

3.2 打开App_Start/WebApiConfig.cs文件,在WebApiConfig.Register方法中配置WebApi.Cors

public static class WebApiConfig

{

    public static void Register(HttpConfiguration config)

    {

        //配置WebApi.Cors

        config.EnableCors();

        config.MapHttpAttributeRoutes();

        config.Routes.MapHttpRoute(

            name: "DefaultApi",

            routeTemplate: "api/{controller}/{id}",

            defaults: new { id = RouteParameter.Optional }

        );

    }

}

3.3 在Controller上添加[EnableCors]属性

using System.Web.Http;

using System.Web.Http.Cors;

namespace WepApiTest.Controllers

{

    [EnableCors(origins: "http://WepApiTest.com", headers: "*", methods: "*")]

    public class TestController : ApiController

    {

        // GET: api/Test

        public IEnumerable<string> Get()

        {

            return new string[] { "value1", "value2" };

        }

    }

}

3.3 在Controller中的action上添加[EnableCors]属性

using System.Web.Http;

using System.Web.Http.Cors;

namespace WepApiTest.Controllers

{

    public class TestController : ApiController

    {

        // GET: api/Test

        [EnableCors(origins: "http://WepApiTest.com", headers: "*", methods: "*")]

        public IEnumerable<string> Get()

        {

            return new string[] { "value1", "value2" };

        }

    }

}

3.4 如果想应用到所有的api controller上,在WebApiConfig.Register方法中进行如下配置

using System.Web.Http;

using System.Web.Http.Cors;

namespace WebApplication2

{

    public static class WebApiConfig

    {

        public static void Register(HttpConfiguration config)

        {

            //配置WebApi.Cors

            var cors = new EnableCorsAttribute("www.example.com", "*", "*");

            config.EnableCors(cors);

            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(

                name: "DefaultApi",

                routeTemplate: "api/{controller}/{id}",

                defaults: new { id = RouteParameter.Optional }

            );

        }

    }

}

3.5 设置origins、HTTP methods、request headers示例

// Allow CORS for all origins. (Caution!)

[EnableCors(origins: "*", headers: "*", methods: "*")]


[EnableCors(origins: "http://www.justsoso.com,http://www.example.com",

    headers: "*", methods: "*")]


[EnableCors(origins: "http://www.example.com", headers: "*", methods: "get,post")]


[EnableCors(origins: "http://example.com",

    headers: "accept,content-type,origin,x-my-header", methods: "*")]

3.6 Pass credentials in cross-origin requests

Credentials require special handling in a CORS request. By default, the browser does not send any credentials with a cross-origin request. Credentials include cookies as well as HTTP authentication schemes. To send credentials with a cross-origin request, the client must set XMLHttpRequest.withCredentials to true.

Using XMLHttpRequest directly:

var xhr = new XMLHttpRequest();

xhr.open('get', 'http://www.example.com/api/test');

xhr.withCredentials = true;

In jQuery:

$.ajax({

    type: 'get',

    url: 'http://www.example.com/api/test',

    xhrFields: {

        withCredentials: true

    }

In addition, the server must allow the credentials. To allow cross-origin credentials in Web API, set the SupportsCredentials property to true on the [EnableCors] attribute:

[EnableCors(origins: "http://myclient.azurewebsites.net", headers: "*",

    methods: "*", SupportsCredentials = true)]

If this property is true, the HTTP response will include an Access-Control-Allow-Credentials header. This header tells the browser that the server allows credentials for a cross-origin request.

If the browser sends credentials, but the response does not include a valid Access-Control-Allow-Credentials header, the browser will not expose the response to the application, and the AJAX request fails.

Be careful about setting SupportsCredentials to true, because it means a website at another domain can send a logged-in user's credentials to your Web API on the user's behalf, without the user being aware. The CORS spec also states that setting origins to "*" is invalid if SupportsCredentials is true.

3.7 浏览器支持情况

库Web API CORS是服务端的处理方法,还必须要求客户端支持CORS,支持情况请查看该地址:

https://caniuse.com/#feat=cors

# 低版本IE实现跨域

参考:Cross-Domain AJAX for IE8 and IE9

# 参考

Setting Access-Control-Allow-Origin in ASP.Net MVC - simplest possible method

Microsoft.AspNet.WebApi.Cors

跨域资源共享 CORS 详解

——————————————————————————————————————————————

.Net 通过设置Access-Control-Allow-Origin来实现跨域访问的更多相关文章

  1. 【转载】ASP.NET MVC设置允许跨域访问

    默认情况下,浏览器端发送Ajax请求一般被禁止跨域访问,如A域名网站访问B域名网站的请求会被终止,在ASP.NET MVC项目中,我们可以配置相应的设置项,允许网站的接口跨域访问,主要需要设置Acce ...

  2. Access control allow origin 简单请求和复杂请求

    原文地址:http://blog.csdn.net/wangjun5159/article/details/49096445 错误信息: XMLHttpRequest cannot load http ...

  3. [转] Chrome - 浏览器跨域访问设置(附:新老版本两种设置方法)

    [From] http://www.hangge.com/blog/cache/detail_1703.html 在进行前后分离的 webapp 开发,或者 H5 移动 App 开发时,我们会使用 P ...

  4. ajax 设置Access-Control-Allow-Origin实现跨域访问

    ajax跨域访问是一个老问题了,解决方法很多,比较常用的是JSONP方法,JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全. 即使使用jquery的jsonp方法,t ...

  5. ajax设置Access-Control-Allow-Origin实现跨域访问

    ajax跨域访问 1.jsonp方法,jsonp方法是一种非官方方法,这种方法只支持GET方式, 不如POST方式安全.(即使使用jquery的jsonp方法,type设为POST, 也会自动变为GE ...

  6. PHP 通过设置P3P头来实现跨域访问COOKIE

    CentOS的系统(Linux 内核) 编辑HOST vi /etc/hosts 加入127.0.0.1 www.a.com127.0.0.1 www.b.com 首先:创建 a_setcookie. ...

  7. 通过设置P3P头来实现跨域访问COOKIE

    通过设置P3P头来实现跨域访问COOKIE 实际工作中,类似这样的要求很多,比如说,我们有两个域名,我们想实现在一个域名登录后,能自动完成另一个域名的登录,也就是PASSPORT的功能. 我只写一个大 ...

  8. java后台设计简单的json数据接口,设置可跨域访问,前端ajax获取json数据

    在开发的过程中,有时候我们需要设计一个数据接口.有时候呢,数据接口和Web服务器又不在一起,所以就有跨域访问的问题. 第一步:简单的设计一个数据接口. 数据接口,听起来高大上,其实呢就是一个简单的Se ...

  9. Java Web中实现设置多个域名跨域访问

    添加以下设置可允许所有域名跨域访问: response.setHeader("Access-Control-Allow-Origin","*"); 但在实际应用 ...

随机推荐

  1. WPF最大化避免覆盖任务栏

    原文:WPF最大化避免覆盖任务栏 WPF当窗体WindowStyle=”None”时,最大化会覆盖掉任务栏.如何解决这个问题呢? 我在Google里面搜到一篇文章,要用到Win32 API,通过让WP ...

  2. x名称空间中的内容

    原文:x名称空间中的内容 x名称空间映射的是http://schemas.microsoft.com/winfx/2006/xaml,它包含的类均与XAML的解析有关,下面分三部分介绍 一:x名称空间 ...

  3. Oracle VM VirtualBox ubuntu 共享文件设置

    1.创建共享文件 2.在本机上选择共享文件路径,虚拟机设置共享文件名称,注意这里不能选择自动挂载 3. 虚拟机新建文件夹挂载共享文件 sudo mkdir /mnt/sharedsudo mount ...

  4. windows下服务程序相关(别人提供的5种封装使用)

    作者: daodaoliang 版本: V 0.0.1 日期: 2017年11月25日 1. Windows Service 编程实现 在windows平台下面编写 服务程序 免不了要去查看微软的开发 ...

  5. 基于Go语言快速构建RESTful API服务

    In this post, we will not only cover how to use Go to create a RESTful JSON API, but we will also ta ...

  6. WPF使用Font-Awesome字体

    官方网站:https://fontawesome.com/ 使用教程: 学习WPF——使用Font-Awesome图标字体 - liulun - 博客园https://www.cnblogs.com/ ...

  7. DDD中的值对象如何用NHibernate进行映射

    原文:DDD中的值对象如何用NHibernate进行映射 <component/>是NHibernate中一个有趣的特性,即是用来映射DDD(Data-Display-Debuger)概念 ...

  8. 为什么360、百度、腾讯出的Mac端云盘客户端都只有同步盘?(用户量小,同步盘开发成本低,Linux下都没有客户端)

    如题,顾名思义,同步盘是用来同步的,不具备增量的功能,像这三家在Windows端出的客户端都是即有同步也有增量的. 陆续出来的,可能大家更多的是跟随策略,不得不提dropbox是这样的形式.mac电脑 ...

  9. C#二分查找法 破洞百出版本

    二分查找法在数据繁多的数据中查找是一种快速的方法,每次查找最多需要的次数 为2的n次方小于总个数. 当然是有前提的,就是需要把数据先排好序,这里指的都是数值型的数据. 基本思想就是把需要找的值与排序好 ...

  10. Natively Compiled Code: A Comeback?

    RAD Studio and Natively Compiled Code In today's development landscape, natively compiled code is ma ...