跨域(CORS)

最新推荐文章于 2024-06-12 08:52:46 发布
最新推荐文章于 2024-06-12 08:52:46 发布
阅读量348 收藏
点赞数
分类专栏: asp.net web api 文章标签: asp.net c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013245493/article/details/109602170
版权

ASP.NET Web API2 跨域请求

1. 什么是跨域

浏览器阻止Web页面向另一个域中发送请求的一种安全策略,此限制称为同源策略,可防止恶意站点读取另一个站点的铭感数据。
跨资源共享(CORS),允许服务器放松同源策略,使用CORS,服务器可以显示的允许某些跨域请求而拒绝其他的跨域请求。
同源策略不会阻止浏览器发送请求。 相反,它会阻止应用程序查看响应。

1.1 什么是同源

协议、IP、端口相同即为同源
同源:

  1. http://example.com/foo.html
  2. http://example.com/bar.html

非同源:

  1. http://example.net-不同域
  2. http://example.com:9000/foo.html-不同端口
  3. https://example.com/foo.html-不同协议
  4. http://www.example.com/foo.html-不同子域

2. 启用CORS

1.包安装

Install-Package Microsoft.AspNet.WebApi.Cors
使用 -Version 标志来面向特定版本。 CORS 包需要 Web API 2.0 或更高版本。
打开文件应用_Start/webapiconfig.cs。 将以下代码添加到webapiconfig.cs方法:

using System.Web.Http;
namespace WebService
{
    public static class WebApiConfig
    {
        public static void Register(HttpConfiguration config)
        {
            // New code
            config.EnableCors();

            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );
        }
    }
}
接下来,将 [EnableCors] 特性添加到控制器类:

```csharp
using System.Net.Http;
using System.Web.Http;
using System.Web.Http.Cors;

namespace WebService.Controllers
{
    [EnableCors(origins: "*", headers: "*", methods: "*")]
    public class TestController : ApiController
    {
        // Controller methods not shown...
    }
}

origins:*表示允许所有的客服端请求。
origins:http://mywebclient.azurewebsites.net 对于 "源 " 参数, 请使用你在其中部署了 WebClient 应用程序的 URI。 这允许来自 WebClient 的跨源请求,同时仍不允许所有其他跨域请求。请勿在源 URL 末尾包含“/”

三、 [EnableCors]的作用域规则

可以具体到方法、控制器、全集

方法

下面的示例仅为 GetItem 方法启用 CORS。

public class ItemsController : ApiController
{
    public HttpResponseMessage GetAll() { ... }

    [EnableCors(origins: "http://www.example.com", headers: "*", methods: "*")]
    public HttpResponseMessage GetItem(int id) { ... }

    public HttpResponseMessage Post() { ... }
    public HttpResponseMessage PutItem(int id) { ... }
}

3.1 控制器

示例为除 PutItem以外的每种方法启用 CORS

[EnableCors(origins: "http://www.example.com", headers: "*", methods: "*")]
public class ItemsController : ApiController
{
    public HttpResponseMessage GetAll() { ... }
    public HttpResponseMessage GetItem(int id) { ... }
    public HttpResponseMessage Post() { ... }

    [DisableCors]
    public HttpResponseMessage PutItem(int id) { ... }
}

[DisableCors] 特性添加到方法上,表示取消该方法的跨域

3.2 全局

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        var cors = new EnableCorsAttribute("www.example.com", "*", "*");
        config.EnableCors(cors);
        // ...
    }
}

4. 设置允许来源

[EnableCors]属性的源参数允许多个来源访问该资源,多个来源之间用逗号分隔。

[EnableCors(origins: "http://www.contoso.com,http://www.example.com", 
    headers: "*", methods: "*")]

你还可以使用通配符值 “*” 允许来自任何来源的请求。
在允许来自任何来源的请求之前,请仔细考虑。 这意味着,任何网站都可以对 web API 进行 AJAX 调用

// Allow CORS for all origins. (Caution!)
[EnableCors(origins: "*", headers: "*", methods: "*")]

5. 设置允许的HTTP的方法

[EnableCors] methods属性允许哪些HTTP请求访问该资源,若要允许所有的,使用通配符“*”。下面的示例只允许 GET 和 POST 请求。

[EnableCors(origins: "http://www.example.com", headers: "*", methods: "get,post")]
public class TestController : ApiController
{
    public HttpResponseMessage Get() { ... }
    public HttpResponseMessage Post() { ... }
    public HttpResponseMessage Put() { ... }    
}

6. 设置允许的请求标头

[EnableCors] header特性的参数指定允许的请求标头,若要允许任何标头,请将标头设置为 “*”。 若要将特定标头列入允许列表,请将标头设置为允许的标头的逗号分隔列表

[EnableCors(origins: "http://example.com", 
    headers: "accept,content-type,origin,x-my-header", methods: "*")]

参考文献

[https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/enabling-cross-origin-requests-in-web-api]

090102123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域cors扩展插件chrome
12-13
标题中的“跨域cors扩展插件chrome”指的是用于解决Web应用程序跨域问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如域名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
关于nest配置跨域app.enableCors()无效的问题
qq_31830547的博客
02-24 3532
nestjs设置跨域app.enableCors()无效的问题 在学习构建全栈项目过程中,配置好后台接口localhost:3000以及相应的localhost:3000/tags访问标签页接口成功之后,前端项目运行在localhost:8080下访问这个api遇到跨域问题; 首先是postman访问这个api的有效截图; 说明本地localhost:3000/tags这个api可以访问,那么前端的请求跨域了,配置好node的跨域就可以了; 跨域这个问题有很多种解决方案,前端解决也可以后端解决也可以,这
CORS解决跨域问题
scottfan的博客
05-18 886
什么是跨域,这里先借用一下别人的解释来解释一下。 什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123.com/index.html 调用 http://www.456.com/server.php (主域名不同
跨域资源共享(CORS)问题与解决方案
最新发布
Java领域优秀创作者
06-12 2128
跨域资源共享(CORS,Cross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同源策略(Same-Origin Policy),该策略用于防止恶意网站从不同来源窃取数据。然而,在实际开发中,我们经常需要与不同源的资源进行交互,这就引发了跨域问题。本文将详细讨论跨域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决跨域问题的方法。
ASP.NET Web API自身对CORS的支持: EnableCorsAttribute特性背后的故事
weixin_33743661的博客
12-11 262
从编程的角度来讲,ASP.NET Web API针对CORS的实现仅仅涉及到HttpConfiguration的扩展方法EnableCorsEnableCorsAttribute特性。但是整个CORS体系不限于此,在它们背后隐藏着一系列的类型,我们将会利用本章余下的内容对此作全面讲述,今天我们就来讨论一下用于定义CORS授权策略的EnableCorsAttribute特性背后的故事。 目录...
Asp .Net Core 系列: 集成 CORS跨域配置
程序人生
01-11 2259
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
nginx跨域解决方案
weixin_40760196的博客
10-01 595
web 领域开发中,经常采用前后端分离模式。这种模式下,前端和后端分别是独立的 web 应用程序,例如:后端是 Java 程序,前端是 React 或 Vue 应用。 各自独立的 web app 在互相访问时,势必存在跨域问题。解决跨域问题一般有两种思路: CORS 在后端服务器设置 HTTP 响应头,把你需要运行访问的域名加入加入 Access-Control-Allow-Origin 中。...
Springboot跨域CORS处理实现原理
08-19
Springboot 跨域 CORS 处理实现原理 本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源...
spring4.3 实现跨域CORS的方法
08-28
Spring 4.3 实现跨域 CORS 的方法 Spring 4.3 框架中实现跨域 CORS 的方法是一种常用的解决跨域问题的方法。CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许服务器指定可以访问其资源的...
springboot跨域CORS处理代码解析
08-25
Spring Boot 跨域 CORS 处理代码解析 Spring Boot 跨域 CORS 处理是指在不同源之间共享资源时,如何解决浏览器的同源策略限制的问题。同源策略是浏览器的一种安全机制,禁止非同源访问,以防止恶意脚本攻击。为了...
java跨域CORS 微服务
11-08
微服务需要几个系统协同配合就需要解决跨域问题,这个就解决了跨域问题
enable-cors.org:倡导CORS
02-25
enable-cors.org 这是enable-cors.org网站的源代码。 必须对“ gh-pages”分支进行所有更改。 该网站是使用Jekyll( )生成的。
.NET----WebAPI配置和服务config.EnableCors()
weixin_43803985的博客
12-02 3811
如果.NET服务没有配置跨域请求,则会出现错误,不支持跨域 一、安装Microsoft.Asp.Net.WebApi.Cors包 二、在 WebApiConfig中添加配置文件 // Web API 配置和服务 config.EnableCors(); 三、在控制器中控制跨域请求 using System.Web.Http.Cors; //跨域命名空间 namespace WebA...
Enable CORS.org
gitblog_00081的博客
03-17 297
Enable CORS.org Enable CORS.org是一个开源项目,旨在帮助Web开发者轻松地实现跨域资源共享(CORS)。通过提供简单易用的工具和文档,该项目为开发者提供了快速上手CORS的方法。 What is CORS and why do you need it? Cross-Origin Resource Sharing (CORS)是一种Web标准,允许浏览器在不同源之间共...
跨域问题CROS
Blue_Pepsi_Cola的博客
08-22 229
跨域
ASP.NET Web API】自身对CORS的支持: CORS授权策略的定义和提供
少莫千华
09-17 915
从编程的角度来讲,ASP.NET Web API针对CORS的实现仅仅涉及到HttpConfiguration的扩展方法EnableCorsEnableCorsAttribute特性。但是整个CORS体系不限于此,在它们背后隐藏着一系列的类型,我们将会利用本章余下的内容对此作全面讲述,今天我们就来讨论一下用于定义CORS授权策略的EnableCorsAttribute特性背后的故事。 目录 一、CorsPolicy 二、CorsPolicyProvider 三、CorsPolicyProvid.
WebApi 跨域问题解决方案:CORS
xiaouncle的博客
11-17 5997
前两篇文章介绍了WebApi项目的创建和测试,今天来说说WebApi跨域访问的问题。本篇主要介绍了利用CORS解决跨域问题一些细节和具体步骤,下面来看看吧。 一、发布WebApi 既然是解决WebApi跨域问题,那WebApi(http://localhost:9002)和网站(http://localhost:57447)当然是单独部署了,只有这样WebApi服务和网站的域名才会不同,要不怎...
k8s下使用Ingress开启跨域(CORS)
热门推荐
小小郭
06-30 2万+
在Ingress中,跨域(CORS)的配置如下: nginx.ingress.kubernetes.io/cors-allow-headers: >- DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorizatio...
使用CORS解决跨域问题
weixin_34163553的博客
05-02 1262
1.跨域问题 1.1 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨...
springboot跨域cors
10-12
在Spring Boot中实现跨域请求(CORS),可以通过以下步骤进行设置: 1. 在Spring Boot的配置类中添加`@Configuration`注解,确保该类会被Spring Boot自动加载。 2. 在配置类中添加一个`@Bean`方法,用于创建一个`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值