.NET Framework,.NET Core下配置支持cookie跨域

原理

从服务端返回以下Header信息，客户端就能跨域调用
Access-Control-Allow-Origin： 允许的源（请求时所在的域名）
Access-Control-Allow-Credentials： 是否允许使用凭证（cookie）

好，我们来看下.NET Framework,.NET Core都要怎么配置：

.NET Framework

错误的做法：网上很多说都是在web.config或iis中进行配置即可：

    <httpProtocol>
      <customHeaders>
        <add name="Access-Control-Allow-Credentials" value="true" />
        <add name="Access-Control-Allow-Origin" value="*" />
      </customHeaders>
    </httpProtocol>

导致在浏览器还是报异常：

A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true

问题的原因是当需要使用Credentials时，Access-Control-Allow-Origin: "*"是不允许的， 必须要确定域名。
所以正确的设置是先删除iis或web.config的配置，在代码中实现，如Global.asax中：

        protected void Application_BeginRequest(object sender, EventArgs e)
        {
            if (Request != null && Request.Headers.Get("Origin") != null)
            {
                Response.Headers.Add("Access-Control-Allow-Origin", Request.Headers.Get("Origin"));
                Response.Headers.Add("Access-Control-Allow-Credentials", "true");
                Response.Headers.Add("Access-Control-Allow-Methods", "OPTIONS,POST,GET");
                Response.Headers.Add("Access-Control-Allow-Headers", "x-requested-with,content-type");
            }
            if (Request.HttpMethod == "OPTIONS")
            {
                Response.End();
            }
        }

同时在web.config的<system.webServer>添加配置来支持OPTIONS请求

    <handlers>
      <add name="OptionsHandler" verb="OPTIONS" path="*" type="System.Web.DefaultHttpHandler"/>
    </handlers>

.NET Core

.NET Core下比较简单了，只需在Startup时，app.UseMvc()前加入代码：

app.UseCors(builder => builder
                .AllowAnyOrigin()
                .AllowAnyMethod()
                .AllowAnyHeader()
                .AllowCredentials());

注意：在net core2.2版本后.AllowAnyOrigin()将不适用， 一定要指明。