原理
从服务端返回以下Header信息,客户端就能跨域调用
Access-Control-Allow-Origin: 允许的源(请求时所在的域名)
Access-Control-Allow-Credentials: 是否允许使用凭证(cookie)
好,我们来看下.NET Framework,.NET Core都要怎么配置:
.NET Framework
错误的做法:网上很多说都是在web.config或iis中进行配置即可:
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Credentials" value="true" />
<add name="Access-Control-Allow-Origin" value="*" />
</customHeaders>
</httpProtocol>
导致在浏览器还是报异常:
A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true
问题的原因是当需要使用Credentials时,Access-Control-Allow-Origin: "*"是不允许的, 必须要确定域名。
所以正确的设置是先删除iis或web.config的配置,在代码中实现,如Global.asax中:
protected void Application_BeginRequest(object sender, EventArgs e)
{
if (Request != null && Request.Headers.Get("Origin") != null)
{
Response.Headers.Add("Access-Control-Allow-Origin", Request.Headers.Get("Origin"));
Response.Headers.Add("Access-Control-Allow-Credentials", "true");
Response.Headers.Add("Access-Control-Allow-Methods", "OPTIONS,POST,GET");
Response.Headers.Add("Access-Control-Allow-Headers", "x-requested-with,content-type");
}
if (Request.HttpMethod == "OPTIONS")
{
Response.End();
}
}
同时在web.config的<system.webServer>添加配置来支持OPTIONS请求
<handlers>
<add name="OptionsHandler" verb="OPTIONS" path="*" type="System.Web.DefaultHttpHandler"/>
</handlers>
.NET Core
.NET Core下比较简单了,只需在Startup时,app.UseMvc()前加入代码:
app.UseCors(builder => builder
.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials());
注意:在net core2.2版本后.AllowAnyOrigin()将不适用, 一定要指明。