ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略:

public void ConfigureServices(IServiceCollection services)

{

    services.AddCors(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins(

            "http://www.cnblogs.com",

            "https://q.cnblogs.com",

            "https://zzk.cnblogs.com",

            "https://i.cnblogs.com",

            "https://news.cnblogs.com",

            "https://job.cnblogs.com")));

}

然后在想启用 CORS 的控制器 Action 上应用这个策略:

[EnableCors("AllowSameDomain")]

public IActionResult Markdown()

{

    return View();

}

但是,当看到上面一堆网址时,当想到每增加一个二级域名都需要修改上面的代码时,一种不舒服的感觉油然而生,一种想偷懒的冲动涌上心头。

难道没有一劳永逸的方法吗?DNS解析中支持在域名中使用通配符(*.cnblogs.com),CA证书中也支持,如果这里的 CORS 策略也支持使用通配符,不就可以一劳永逸了吗?配置 CORS 策略的代码就可以简化为下面的样子:

public void ConfigureServices(IServiceCollection services)

{

    services.AddCors(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins("*.cnblogs.com")));

}

不仅一劳永逸,而且代码更加简洁漂亮。

可是负责 ASP.NET CORS 的开发者没这么贴心,只能自己动手了。

从 github 签出 ASP.NET CORS 的源代码,找到其中根据域名进行判断的实现代码

public class CorsService : ICorsService

{

    public virtual void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))

        {

            return;

        }

        AddOriginToResult(origin, policy, result);

        result.SupportsCredentials = policy.SupportsCredentials;

        AddHeaderValues(result.AllowedExposedHeaders, policy.ExposedHeaders);

    }

    public virtual void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))

        {

            return;

        }

        //...

    }

}

(这里竟然有重复代码,又增添了一份不舒服的感觉,暂且不管)

原来是通过 !policy.Origins.Contains(origin) 判断的,只要修改这个地方的判断代码,就能实现一劳永逸的偷懒目的。但是,这部分代码不是随意可以修改的,要走代码贡献流程,而且不一定被接受,目前还是先想办法扩展它吧。

英明的 ASP.NET CORS 开发者早就考虑了这个地方的扩展性,将 EvaluateRequest() 与 EvaluatePreflightRequest 定义为虚拟方法,我们只需定义一个子类继承自 CorsService ,覆盖这两个方法即可。

接下来就是解决如何覆盖的问题。把父类中的实现代码复制过来修改不可取,以后 ASP.NET CORS 升级了,这部分代码改了,就会带来问题。我们需要想办法在不改变现有处理逻辑的前提下,影响处理结果。

我们继续看 !policy.Origins.Contains(origin) ,policy.Origins 的类型是 IList<string> ,它存储的就是我们在定义 CORS 策略时添加的网址,所以,如果我们想要影响这里的判断结果,唯有改变 policy.Origins 的值。

根据当前的情况,我们可以把问题简化为下面的代码:

public static void Main(string[] args)

{

    IList<string> origins = new List<string>() { "*.cnblogs.com" };

    var origin = "http://www.cnblogs.com";

    //在origins中添加"http://www.cnblogs.com"

    Assert.True(origins.Contains(origin));

}

接下来只需做一件事——集中精力把上面的注释变成代码。

。。。

我们将注释变成了下面的代码:

private void EvaluateOriginForWildcard(IList<string> origins, string origin)

{

    //只在没有匹配的origin的情况下进行操作

    if (!origins.Contains(origin))

    {

        //查询所有以星号开头的origin

        var wildcardDomains = origins.Where(o => o.StartsWith("*"));

        if (wildcardDomains.Any())

        {

            //遍历以星号开头的origin

            foreach (var wildcardDomain in wildcardDomains)

            {

                //如果以.cnblogs.com结尾

                if (origin.EndsWith(wildcardDomain.Substring())

                    //或者以//cnblogs.com结尾,针对http://cnblogs.com

                    || origin.EndsWith("//" + wildcardDomain.Substring()))

                {

                    //将http://www.cnblogs.com添加至origins

                    origins.Add(origin);

                    break;

                }

            }

        }

    }

}

然后基于上面的代码实现 CorsService 的子类 WildcardCorsService :

public class WildcardCorsService : CorsService

{

    public WildcardCorsService(IOptions<CorsOptions> options)

        : base(options)

    {

    }

    public override void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        EvaluateOriginForWildcard(policy.Origins, origin);

        base.EvaluateRequest(context, policy, result);

    }

    public override void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        EvaluateOriginForWildcard(policy.Origins, origin);

        base.EvaluatePreflightRequest(context, policy, result);

    }

    private void EvaluateOriginForWildcard(IList<string> origins, string origin)

    {

        //...

    }

}

然后将其注入:

services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

(注:这里要用 Add ,不要用 TryAdd ,因为在 service.AddMvc 中已经把 CorsService 注入了,用 Add 才能覆盖 CorsService 的注入。)

最终 ConfigureServices() 中的代码变成了这样:

public void ConfigureServices(IServiceCollection services)

{

    services.AddMvc();

    services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

    services.Configure<CorsOptions>(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins("*.cnblogs.com")));

}

一劳永逸的目标就此达成,不舒服的感觉烟消云散。

【更新】

后来 ASP.NET Core 提供了内置支持,示例代码如下

services.AddCors(options => options.AddPolicy(

    "CnblogsCors",

    p => p.SetIsOriginAllowedToAllowWildcardSubdomains()

        .WithOrigins("https://*.cnblogs.com", "http://*.cnblogs.com")

        .AllowAnyMethod().AllowAnyHeader()));

一劳永逸:域名支持通配符,ASP.NET Core中配置CORS的更多相关文章

  1. 一劳永逸:域名支持通配符,ASP.NET Core中配置CORS更轻松

    ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略: public void Configu ...

  2. 如何在ASP.NET Core中实现CORS跨域

    注:下载本文的完整代码示例请访问 > How to enable CORS(Cross-origin resource sharing) in ASP.NET Core 如何在ASP.NET C ...

  3. Asp.Net Core中配置使用Kindeditor富文本编辑器实现图片上传和截图上传及文件管理和上传(开源代码.net core3.0)

    KindEditor使用JavaScript编写,可以无缝的于Java..NET.PHP.ASP等程序接合. KindEditor非常适合在CMS.商城.论坛.博客.Wiki.电子邮件等互联网应用上使 ...

  4. 在Asp.Net Core中配置使用MarkDown富文本编辑器实现图片上传和截图上传(开源代码.net core3.0)

    我们的富文本编辑器不能没有图片上传尤其是截图上传,下面我来教大家怎么实现MarkDown富文本编辑器截图上传和图片上传. 1.配置编辑器到html页 <div id="test-edi ...

  5. ASP.NET Core中配置监听URLs的五种方式

    原文: 5 ways to set the URLs for an ASP.NET Core app 作者: Andrew Lock 译者: Lamond Lu 默认情况下,ASP. NET Core ...

  6. 【aspnetcore】在asp.net core中配置使用AutoMapper

    网上使用AutoMapper的文章很多,就不多说了.这里主要记录一下怎么在项目中配置和使用. 首先是从NuGet获取AutoMapper. 在Startup.cs文件中注册AutoMapper服务 p ...

  7. ASP.NET Core中的数据保护

    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...

  8. 在Asp.Net或.Net Core中配置使用MarkDown富文本编辑器有开源模板代码(代码是.net core3.0版本)

    研究如何使用Markdown你们可能要花好几天才能搞定,但是看我的文章或者下载了源码,你搞定一般在10分钟之内.我先给各位介绍下它: Markdown 是一种轻量级标记语言,它允许人们使用易读易写的纯 ...

  9. ASP.NET Core 中jwt授权认证的流程原理

    目录 1,快速实现授权验证 1.1 添加 JWT 服务配置 1.2 颁发 Token 1.3 添加 API访问 2,探究授权认证中间件 2.1 实现 Token 解析 2.2 实现校验认证 1,快速实 ...

随机推荐

  1. EOF多行写入文件防止变量替换

    问题描述 对多个变量及多行输出到文件,存在变量自动替换,当使用cat<<EOF不想对内容进行变量替换.命令替换.参数展开等 问题解决 转义特殊字符如 $ `等 一.对 $·\ 进行转义 c ...

  2. Git tag 标签操作

    列表 # 列出已有的标签 $ git tag # 为了能及时看到远程上新增的标签, 在上面的命令之前可以fetch一下 git fetch --all --tags --prune # 列出匹配的部分 ...

  3. 通过jarjar.jar来替换jar包名的详细介绍

    有时候我们根据一些场景 需要替换第三方jar包的包名,比如Android广告平台sdk,更换他们jar包包名的话,可以防止市场检测到有广告插件,所以,今天就介绍一下如何使用jarjar.jar工具来替 ...

  4. C#获取网页的HTML码、下载网站图片 get post

    /// <summary> /// 获取网页的HTML码 /// </summary> /// <param name="url">链接地址&l ...

  5. s:iterator 标签使用错误记录

    <s:iterator value="newMarriageMoveList" id='tpNewMarriage' status="number"> ...

  6. Fluent动网格【6】:部件变形案例

    本案例描述使用动网格过程中处理边界变形的问题. 案例描述 本案例几何为一个抛物线旋转成型的几何体.如图所示. 其中上壁面刚体运动引起抛物面变形.刚体运动方程为: \[ v=\left\{ \begin ...

  7. 【Linux高级驱动】input子系统框架

    [1.input子系统框架(drivers\input)] 如何得出某个驱动所遵循的框架?    1) 通过网络搜索    2) 自己想办法跟内核代码!         2.1 定位此驱动是属于哪种类 ...

  8. Android Studio原生库创建示例

    [时间:2017-07] [状态:Open] [关键词:Android,Android Studio,gradle,native,c,c++,cmake,原生开发] 0 引言 最近在工作中遇到了升级A ...

  9. django admin upload 上传图片到oss Django Aliyun OSS2 Storage

    https://github.com/xiewenya/django-aliyun-oss2-storage Install pip install django-aliyun-oss2-storag ...

  10. [转] BootStrap table增加一列显示序号

    原文地址:https://blog.csdn.net/aboboo5200/article/details/78839208 最近由于项目需要,使用BootStrap table做数据展示,其中要在第 ...