ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略:

public void ConfigureServices(IServiceCollection services)

{

    services.AddCors(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins(

            "http://www.cnblogs.com",

            "https://q.cnblogs.com",

            "https://zzk.cnblogs.com",

            "https://i.cnblogs.com",

            "https://news.cnblogs.com",

            "https://job.cnblogs.com")));

}

然后在想启用 CORS 的控制器 Action 上应用这个策略:

[EnableCors("AllowSameDomain")]

public IActionResult Markdown()

{

    return View();

}

但是,当看到上面一堆网址时,当想到每增加一个二级域名都需要修改上面的代码时,一种不舒服的感觉油然而生,一种想偷懒的冲动涌上心头。

难道没有一劳永逸的方法吗?DNS解析中支持在域名中使用通配符(*.cnblogs.com),CA证书中也支持,如果这里的 CORS 策略也支持使用通配符,不就可以一劳永逸了吗?配置 CORS 策略的代码就可以简化为下面的样子:

public void ConfigureServices(IServiceCollection services)

{

    services.AddCors(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins("*.cnblogs.com")));

}

不仅一劳永逸,而且代码更加简洁漂亮。

可是负责 ASP.NET CORS 的开发者没这么贴心,只能自己动手了。

从 github 签出 ASP.NET CORS 的源代码,找到其中根据域名进行判断的实现代码

public class CorsService : ICorsService

{

    public virtual void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))

        {

            return;

        }

        AddOriginToResult(origin, policy, result);

        result.SupportsCredentials = policy.SupportsCredentials;

        AddHeaderValues(result.AllowedExposedHeaders, policy.ExposedHeaders);

    }

    public virtual void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))

        {

            return;

        }

        //...

    }

}

(这里竟然有重复代码,又增添了一份不舒服的感觉,暂且不管)

原来是通过 !policy.Origins.Contains(origin) 判断的,只要修改这个地方的判断代码,就能实现一劳永逸的偷懒目的。但是,这部分代码不是随意可以修改的,要走代码贡献流程,而且不一定被接受,目前还是先想办法扩展它吧。

英明的 ASP.NET CORS 开发者早就考虑了这个地方的扩展性,将 EvaluateRequest() 与 EvaluatePreflightRequest 定义为虚拟方法,我们只需定义一个子类继承自 CorsService ,覆盖这两个方法即可。

接下来就是解决如何覆盖的问题。把父类中的实现代码复制过来修改不可取,以后 ASP.NET CORS 升级了,这部分代码改了,就会带来问题。我们需要想办法在不改变现有处理逻辑的前提下,影响处理结果。

我们继续看 !policy.Origins.Contains(origin) ,policy.Origins 的类型是 IList<string> ,它存储的就是我们在定义 CORS 策略时添加的网址,所以,如果我们想要影响这里的判断结果,唯有改变 policy.Origins 的值。

根据当前的情况,我们可以把问题简化为下面的代码:

public static void Main(string[] args)

{

    IList<string> origins = new List<string>() { "*.cnblogs.com" };

    var origin = "http://www.cnblogs.com";

    //在origins中添加"http://www.cnblogs.com"

    Assert.True(origins.Contains(origin));

}

接下来只需做一件事——集中精力把上面的注释变成代码。

。。。

我们将注释变成了下面的代码:

private void EvaluateOriginForWildcard(IList<string> origins, string origin)

{

    //只在没有匹配的origin的情况下进行操作

    if (!origins.Contains(origin))

    {

        //查询所有以星号开头的origin

        var wildcardDomains = origins.Where(o => o.StartsWith("*"));

        if (wildcardDomains.Any())

        {

            //遍历以星号开头的origin

            foreach (var wildcardDomain in wildcardDomains)

            {

                //如果以.cnblogs.com结尾

                if (origin.EndsWith(wildcardDomain.Substring())

                    //或者以//cnblogs.com结尾,针对http://cnblogs.com

                    || origin.EndsWith("//" + wildcardDomain.Substring()))

                {

                    //将http://www.cnblogs.com添加至origins

                    origins.Add(origin);

                    break;

                }

            }

        }

    }

}

然后基于上面的代码实现 CorsService 的子类 WildcardCorsService :

public class WildcardCorsService : CorsService

{

    public WildcardCorsService(IOptions<CorsOptions> options)

        : base(options)

    {

    }

    public override void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        EvaluateOriginForWildcard(policy.Origins, origin);

        base.EvaluateRequest(context, policy, result);

    }

    public override void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        EvaluateOriginForWildcard(policy.Origins, origin);

        base.EvaluatePreflightRequest(context, policy, result);

    }

    private void EvaluateOriginForWildcard(IList<string> origins, string origin)

    {

        //...

    }

}

然后将其注入:

services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

(注:这里要用 Add ,不要用 TryAdd ,因为在 service.AddMvc 中已经把 CorsService 注入了,用 Add 才能覆盖 CorsService 的注入。)

最终 ConfigureServices() 中的代码变成了这样:

public void ConfigureServices(IServiceCollection services)

{

    services.AddMvc();

    services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

    services.Configure<CorsOptions>(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins("*.cnblogs.com")));

}

一劳永逸的目标就此达成,不舒服的感觉烟消云散。

【更新】

后来 ASP.NET Core 提供了内置支持,示例代码如下

services.AddCors(options => options.AddPolicy(

    "CnblogsCors",

    p => p.SetIsOriginAllowedToAllowWildcardSubdomains()

        .WithOrigins("https://*.cnblogs.com", "http://*.cnblogs.com")

        .AllowAnyMethod().AllowAnyHeader()));

一劳永逸:域名支持通配符,ASP.NET Core中配置CORS的更多相关文章

  1. 一劳永逸:域名支持通配符,ASP.NET Core中配置CORS更轻松

    ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略: public void Configu ...

  2. 如何在ASP.NET Core中实现CORS跨域

    注:下载本文的完整代码示例请访问 > How to enable CORS(Cross-origin resource sharing) in ASP.NET Core 如何在ASP.NET C ...

  3. Asp.Net Core中配置使用Kindeditor富文本编辑器实现图片上传和截图上传及文件管理和上传(开源代码.net core3.0)

    KindEditor使用JavaScript编写,可以无缝的于Java..NET.PHP.ASP等程序接合. KindEditor非常适合在CMS.商城.论坛.博客.Wiki.电子邮件等互联网应用上使 ...

  4. 在Asp.Net Core中配置使用MarkDown富文本编辑器实现图片上传和截图上传(开源代码.net core3.0)

    我们的富文本编辑器不能没有图片上传尤其是截图上传,下面我来教大家怎么实现MarkDown富文本编辑器截图上传和图片上传. 1.配置编辑器到html页 <div id="test-edi ...

  5. ASP.NET Core中配置监听URLs的五种方式

    原文: 5 ways to set the URLs for an ASP.NET Core app 作者: Andrew Lock 译者: Lamond Lu 默认情况下,ASP. NET Core ...

  6. 【aspnetcore】在asp.net core中配置使用AutoMapper

    网上使用AutoMapper的文章很多,就不多说了.这里主要记录一下怎么在项目中配置和使用. 首先是从NuGet获取AutoMapper. 在Startup.cs文件中注册AutoMapper服务 p ...

  7. ASP.NET Core中的数据保护

    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...

  8. 在Asp.Net或.Net Core中配置使用MarkDown富文本编辑器有开源模板代码(代码是.net core3.0版本)

    研究如何使用Markdown你们可能要花好几天才能搞定,但是看我的文章或者下载了源码,你搞定一般在10分钟之内.我先给各位介绍下它: Markdown 是一种轻量级标记语言,它允许人们使用易读易写的纯 ...

  9. ASP.NET Core 中jwt授权认证的流程原理

    目录 1,快速实现授权验证 1.1 添加 JWT 服务配置 1.2 颁发 Token 1.3 添加 API访问 2,探究授权认证中间件 2.1 实现 Token 解析 2.2 实现校验认证 1,快速实 ...

随机推荐

  1. linux下使用mingw编译NSIS-3.03

    简述 最近在研究使用NSIS做安装包,语法不算复杂,插件也很多,中文资料也不少,还挺好用的.先后用NSIS做出了安装和卸载需要输入密码,通过自定义页面实现安装时候选择多个目录.安装的时候输入配置文件信 ...

  2. Window开启上帝模式

    所谓的上帝模式就是所有功能在一个文件下,方便.快捷地操作! 01.新建一个文件夹 02.重命名文件夹 文件夹重命名为“GodMode.{ED7BA470-8E54-465E-825C-99712043 ...

  3. Swift 模式匹配

    前言 在 Swift 中模式匹配是个重要的概念. 最常用的模式匹配是 switch 语法. 模式匹配非常灵活,在使用 switch 进行一轮模式匹配时,不需要所有的 case 都是同一种风格. let ...

  4. [svc]runinit管理多进程

    runinit启动小程序测试 与Supervisord类似的工具包括monit, daemontools和runit. 我还发现个神器,专门针对单容器启动多进程的神器s6: https://githu ...

  5. [svc]mysql备份恢复及常用命令

    如何实现mysql读写分离 1.通过程序实现读写分类(性能 效率最佳) php和java都可以通过设置多个连接文件轻松实现对db的读写分离,即当select时,就去连读库的连接文件,当update,i ...

  6. 无意识(无知)-->有意识-->进入潜意识-->无意识(本能状态)

    无意识(无知)-->有意识-->进入潜意识-->无意识(本能状态) 1. 从“无意识-->有意识”的两个重要内容是“反省”+“要努力学习”,估计有80%的人无法跨过这一步 2. ...

  7. PNG、 JPG图片压缩方法

    参考链接 https://tinypng.com/developers/reference/python 1.安装 pip install --upgrade tinify 2.使用python脚本压 ...

  8. ECMAScript 6 入门之变量的解构赋值

    1.数组 1. var a=1,b=2,c=3; console.log("a:",a) console.log("b:",b) console.log(&qu ...

  9. Vue中使用ECharts画散点图加均值线与阴影区域

    [本文出自天外归云的博客园] 需求 1. Vue中使用ECharts画散点图 2. 在图中加入加均值线 3. 在图中标注出阴影区域 实现 实现这个需求,要明确两点: 1. 知道如何在vue中使用ech ...

  10. Spring Security 认证流程

    请求之间共享SecurityContext原因: