ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略:

public void ConfigureServices(IServiceCollection services)

{

    services.AddCors(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins(

            "http://www.cnblogs.com",

            "https://q.cnblogs.com",

            "https://zzk.cnblogs.com",

            "https://i.cnblogs.com",

            "https://news.cnblogs.com",

            "https://job.cnblogs.com")));

}

然后在想启用 CORS 的控制器 Action 上应用这个策略:

[EnableCors("AllowSameDomain")]

public IActionResult Markdown()

{

    return View();

}

但是,当看到上面一堆网址时,当想到每增加一个二级域名都需要修改上面的代码时,一种不舒服的感觉油然而生,一种想偷懒的冲动涌上心头。

难道没有一劳永逸的方法吗?DNS解析中支持在域名中使用通配符(*.cnblogs.com),CA证书中也支持,如果这里的 CORS 策略也支持使用通配符,不就可以一劳永逸了吗?配置 CORS 策略的代码就可以简化为下面的样子:

public void ConfigureServices(IServiceCollection services)

{

    services.AddCors(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins("*.cnblogs.com")));

}

不仅一劳永逸,而且代码更加简洁漂亮。

可是负责 ASP.NET CORS 的开发者没这么贴心,只能自己动手了。

从 github 签出 ASP.NET CORS 的源代码,找到其中根据域名进行判断的实现代码

public class CorsService : ICorsService

{

    public virtual void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))

        {

            return;

        }

        AddOriginToResult(origin, policy, result);

        result.SupportsCredentials = policy.SupportsCredentials;

        AddHeaderValues(result.AllowedExposedHeaders, policy.ExposedHeaders);

    }

    public virtual void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))

        {

            return;

        }

        //...

    }

}

(这里竟然有重复代码,又增添了一份不舒服的感觉,暂且不管)

原来是通过 !policy.Origins.Contains(origin) 判断的,只要修改这个地方的判断代码,就能实现一劳永逸的偷懒目的。但是,这部分代码不是随意可以修改的,要走代码贡献流程,而且不一定被接受,目前还是先想办法扩展它吧。

英明的 ASP.NET CORS 开发者早就考虑了这个地方的扩展性,将 EvaluateRequest() 与 EvaluatePreflightRequest 定义为虚拟方法,我们只需定义一个子类继承自 CorsService ,覆盖这两个方法即可。

接下来就是解决如何覆盖的问题。把父类中的实现代码复制过来修改不可取,以后 ASP.NET CORS 升级了,这部分代码改了,就会带来问题。我们需要想办法在不改变现有处理逻辑的前提下,影响处理结果。

我们继续看 !policy.Origins.Contains(origin) ,policy.Origins 的类型是 IList<string> ,它存储的就是我们在定义 CORS 策略时添加的网址,所以,如果我们想要影响这里的判断结果,唯有改变 policy.Origins 的值。

根据当前的情况,我们可以把问题简化为下面的代码:

public static void Main(string[] args)

{

    IList<string> origins = new List<string>() { "*.cnblogs.com" };

    var origin = "http://www.cnblogs.com";

    //在origins中添加"http://www.cnblogs.com"

    Assert.True(origins.Contains(origin));

}

接下来只需做一件事——集中精力把上面的注释变成代码。

。。。

我们将注释变成了下面的代码:

private void EvaluateOriginForWildcard(IList<string> origins, string origin)

{

    //只在没有匹配的origin的情况下进行操作

    if (!origins.Contains(origin))

    {

        //查询所有以星号开头的origin

        var wildcardDomains = origins.Where(o => o.StartsWith("*"));

        if (wildcardDomains.Any())

        {

            //遍历以星号开头的origin

            foreach (var wildcardDomain in wildcardDomains)

            {

                //如果以.cnblogs.com结尾

                if (origin.EndsWith(wildcardDomain.Substring())

                    //或者以//cnblogs.com结尾,针对http://cnblogs.com

                    || origin.EndsWith("//" + wildcardDomain.Substring()))

                {

                    //将http://www.cnblogs.com添加至origins

                    origins.Add(origin);

                    break;

                }

            }

        }

    }

}

然后基于上面的代码实现 CorsService 的子类 WildcardCorsService :

public class WildcardCorsService : CorsService

{

    public WildcardCorsService(IOptions<CorsOptions> options)

        : base(options)

    {

    }

    public override void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        EvaluateOriginForWildcard(policy.Origins, origin);

        base.EvaluateRequest(context, policy, result);

    }

    public override void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)

    {

        var origin = context.Request.Headers[CorsConstants.Origin];

        EvaluateOriginForWildcard(policy.Origins, origin);

        base.EvaluatePreflightRequest(context, policy, result);

    }

    private void EvaluateOriginForWildcard(IList<string> origins, string origin)

    {

        //...

    }

}

然后将其注入:

services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

(注:这里要用 Add ,不要用 TryAdd ,因为在 service.AddMvc 中已经把 CorsService 注入了,用 Add 才能覆盖 CorsService 的注入。)

最终 ConfigureServices() 中的代码变成了这样:

public void ConfigureServices(IServiceCollection services)

{

    services.AddMvc();

    services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

    services.Configure<CorsOptions>(options => options.AddPolicy(

        "AllowSameDomain",

        builder => builder.WithOrigins("*.cnblogs.com")));

}

一劳永逸的目标就此达成,不舒服的感觉烟消云散。

【更新】

后来 ASP.NET Core 提供了内置支持,示例代码如下

services.AddCors(options => options.AddPolicy(

    "CnblogsCors",

    p => p.SetIsOriginAllowedToAllowWildcardSubdomains()

        .WithOrigins("https://*.cnblogs.com", "http://*.cnblogs.com")

        .AllowAnyMethod().AllowAnyHeader()));

一劳永逸:域名支持通配符,ASP.NET Core中配置CORS更轻松的更多相关文章

  1. 一劳永逸:域名支持通配符,ASP.NET Core中配置CORS

    ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略: public void Configu ...

  2. 如何在ASP.NET Core中实现CORS跨域

    注:下载本文的完整代码示例请访问 > How to enable CORS(Cross-origin resource sharing) in ASP.NET Core 如何在ASP.NET C ...

  3. Asp.Net Core中配置使用Kindeditor富文本编辑器实现图片上传和截图上传及文件管理和上传(开源代码.net core3.0)

    KindEditor使用JavaScript编写,可以无缝的于Java..NET.PHP.ASP等程序接合. KindEditor非常适合在CMS.商城.论坛.博客.Wiki.电子邮件等互联网应用上使 ...

  4. 在Asp.Net Core中配置使用MarkDown富文本编辑器实现图片上传和截图上传(开源代码.net core3.0)

    我们的富文本编辑器不能没有图片上传尤其是截图上传,下面我来教大家怎么实现MarkDown富文本编辑器截图上传和图片上传. 1.配置编辑器到html页 <div id="test-edi ...

  5. ASP.NET Core中配置监听URLs的五种方式

    原文: 5 ways to set the URLs for an ASP.NET Core app 作者: Andrew Lock 译者: Lamond Lu 默认情况下,ASP. NET Core ...

  6. 【aspnetcore】在asp.net core中配置使用AutoMapper

    网上使用AutoMapper的文章很多,就不多说了.这里主要记录一下怎么在项目中配置和使用. 首先是从NuGet获取AutoMapper. 在Startup.cs文件中注册AutoMapper服务 p ...

  7. 如何在 ASP.NET Core 中写出更干净的 Controller

    你可以遵循一些最佳实践来写出更干净的 Controller,一般我们称这种方法写出来的 Controller 为瘦Controller,瘦 Controller 的好处在于拥有更少的代码,更加单一的职 ...

  8. ASP.NET Core中的数据保护

    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...

  9. asp.net core 中配合响应 html5 的音视频播放流,以及文件下载

    一.asp.net core 中配合响应 html5 的音视频播放流,以及文件下载 问题描述: 目前测试了在 Windows(谷歌浏览器).Android(系统浏览器.QQ.微信).iOS 三个系统不 ...

随机推荐

  1. Redis3重建Cluster

    1.关闭cluster全部节点2.删除所有nodes.conf文件3.开启全部节点4.依次flushall5.重建集群即可 Share the post "Redis3重建Cluster&q ...

  2. 【Gson】互相转化

    Gson 是 Google 提供的用来在 Java 对象和 JSON 数据之间进行映射的 Java 类库.可以将一个 JSON 字符串转成一个 Java 对象,或者反过来. 对象转为字符串 Strin ...

  3. 将jsp页面转化为图片或pdf(一)

    在项目中遇见了将jsp页面转化为pdf的问题,试过itext,但是itext需要标准的html代码,我的页面中的一些属性是itext所不识别的,所以努力了一段时间后就放弃了,后来发现htmlutil抓 ...

  4. 解决ScrollView 嵌套 GridView 单行显示问题

    简单重写GridView package com.hh.beauter.my_ui; import android.content.Context; import android.util.Attri ...

  5. CharacterEncodingFilter-Spring字符编码过滤器

    通过源码可以看到在web.xml配置CharacterEncodingFilter 时,可以配置两个参数:encoding和forceEncoding : encoding:编码格式: forceEn ...

  6. bash快捷键

    https://linuxtoy.org/archives/bash-shortcuts.html 编辑命令 Ctrl + a :移到命令行首 Ctrl + e :移到命令行尾 Ctrl + f :按 ...

  7. 利用注解来保存uri

    一直对getRequestURI()与getRequestURL()理解不透彻,因此今天通过查找资料,现将些许收获分享一下: [非原创]代码搬运工..(*^__^*) 1.request.getSch ...

  8. mysql_connect() php7不支持,php5.5可以,是废弃函数

    天用了PHP7,发现和PHP5变化还挺大的,最大的就是MySQL的连接库变了. PHP5中使用mysql_connect()函数进行连接,但实际上,PHP5.5开始,MySQL就不推荐使用了,属于废弃 ...

  9. 根据url下载图片

    如题:在我要动手写的时候才发现不搜索根本就是写不出来,究其原因还是因为基础不扎实,由于用的少已经没有能力写出了 首先需要获取url数据流,然后写进文件里即可,仅仅两步可惜我写不出来啊跟着搜来的内容写一 ...

  10. Cordova 3.x入门 - 目录

    这个系列是基于Cordova 3.x的,很多Android的东西都是Eclipse ADT+Ant的,而目前Android的开发已经完全切换到了Android Studio+Gradle,需要大家特别 ...