ASP.NETCore-中间件Middleware（三）_CORS跨域请求_Net7

一、序言

  浏览器安全性可防止网页向不处理网页的域发送请求。 此限制称为同域策略。 同域策略可防止恶意站点从另一站点读取敏感数据。有时，你可能希望允许其他网站向自己的应用发出跨源请求。 这是就需要使用跨域请求。更多跨域请求方式见：Web跨域学习笔记

1、 跨源资源共享 (CORS)：

• 是一种 W3C 标准，允许服务器放宽同源策略。
• 不是安全功能，CORS 放松了安全限制。 允许 CORS 并不会使 API 更安全。 有关详细信息，请参阅  CORS 的工作原理。
• 允许服务器显式允许某些跨源请求，同时拒绝其他请求。
• 比早期技术（如  JSONP）更安全、更灵活。

2、CORS的知识：

   Mozilla CORS  文章

二、NetCoreCORS跨域中间件

1、使用CORS 跨域中间件

登录后复制

using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Configuration;
using Microsoft.OpenApi.Models;
using System;

namespace fly_chat1_net7
{
    public class Program
    {
        public static void Main(string[] args)
        {
            var builder = WebApplication.CreateBuilder(args);

            #region 容器Services
            builder.Services.AddControllers();            // 添加Controller
            builder.Services.AddHttpContextAccessor();    // 操作Http上下文；比如：AOP里面可以获取IOC对象
            builder.Services.AddEndpointsApiExplorer();   // ASP.NET Core自身提供；Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle

            ...
            builder.Services.AddCors(options =>  // 配置Cors跨域
            {
                options.AddPolicy(name: "MyPolicy",
                    policy =>
                    {
                        policy.WithOrigins("https://yunyistars.com/", "http://yunyistars.com/",  // 约束域名;.WithOrigins("")；一般不会允许所有域都可访问后台（AllowAnyOrigin()）
                            "https://*.yunyistars.com/", "http://*.yunyistars.com/")
                            .SetIsOriginAllowedToAllowWildcardSubdomains()                       // 约束域名-匹配一个配置的带通配符的域名
                            .AllowAnyHeader()                                                    // 约束HTTP请求头-允许所有请求头；.WithHeaders("Content-Language","Content-Type");
                            .AllowAnyMethod()                                                    // 约束HTTP方法-允许所有方法；.WithMethods("PUT", "DELETE", "GET","POST")
                            .AllowCredentials();  // 允许浏览器在跨域请求中发送证书
                    });
            });
            #endregion 容器Services

            var app = builder.Build();
            app.UseHttpLogging();
            ...
            app.UseCors("MyPolicy");  // 使用Cors跨域
            ...
            app.UseAuthorization();
            app.MapControllers();
            app.Run();
        }
    }
}

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.
• 11.
• 12.
• 13.
• 14.
• 15.
• 16.
• 17.
• 18.
• 19.
• 20.
• 21.
• 22.
• 23.
• 24.
• 25.
• 26.
• 27.
• 28.
• 29.
• 30.
• 31.
• 32.
• 33.
• 34.
• 35.
• 36.
• 37.
• 38.
• 39.
• 40.
• 41.
• 42.
• 43.
• 44.
• 45.

2、 设置CORS 策略选项

•  设置允许的源
•  设置允许的 HTTP 方法
•  设置允许的请求头
•  设置公开的响应头
•  跨源请求中的凭据
•  设置预检过期时间

3、注意点

（1）UseCors一般在UseStaticFiles(静态文件)之后被调用；

（2）UseCors在UseOutputCaching(输出缓存)、UseResponseCaching(响应缓存)之前被调用。

作者：꧁执笔小白꧂

原创作者: 2806933146zbxb 转载于: https://blog.51cto.com/2806933146zbxb/11618554