一劳永逸:域名支持通配符,ASP.NET Core中配置CORS

最新推荐文章于 2022-09-05 12:51:09 发布
最新推荐文章于 2022-09-05 12:51:09 发布
阅读量566 收藏
点赞数
文章标签: asp.net
原文链接:https://www.fgba.net/
版权

ASP.NET Core 内置了对 CORS 的支持,使用很简单,只需先在 Startup 的 ConfigureServices() 中添加 CORS 策略:

复制代码

复制代码

public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(options => options.AddPolicy(
        "AllowSameDomain",
        builder => builder.WithOrigins(
            "http://www.cnblogs.com",
            "https://q.cnblogs.com",
            "https://zzk.cnblogs.com",
            "https://i.cnblogs.com",
            "https://news.cnblogs.com",
            "https://job.cnblogs.com")));
}

复制代码

复制代码

然后在想启用 CORS 的控制器 Action 上应用这个策略:

[EnableCors("AllowSameDomain")]
public IActionResult Markdown()
{
    return View();
}

但是,当看到上面一堆网址时,当想到每增加一个二级域名都需要修改上面的代码时,一种不舒服的感觉油然而生,一种想偷懒的冲动涌上心头。

难道没有一劳永逸的方法吗?DNS解析中支持在域名中使用通配符(*.cnblogs.com),CA证书中也支持,如果这里的 CORS 策略也支持使用通配符,不就可以一劳永逸了吗?配置 CORS 策略的代码就可以简化为下面的样子:

复制代码

复制代码

public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(options => options.AddPolicy(
        "AllowSameDomain",
        builder => builder.WithOrigins("*.cnblogs.com")));
}

复制代码

复制代码

不仅一劳永逸,而且代码更加简洁漂亮。

可是负责 ASP.NET CORS 的开发者没这么贴心,只能自己动手了。

从 github 签出 ASP.NET CORS 的源代码,找到其中根据域名进行判断的实现代码:

复制代码

复制代码

public class CorsService : ICorsService
{
    public virtual void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)
    {
        var origin = context.Request.Headers[CorsConstants.Origin];
        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))
        {
            return;
        }

        AddOriginToResult(origin, policy, result);
        result.SupportsCredentials = policy.SupportsCredentials;
        AddHeaderValues(result.AllowedExposedHeaders, policy.ExposedHeaders);
    }

    public virtual void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)
    {
        var origin = context.Request.Headers[CorsConstants.Origin];
        if (StringValues.IsNullOrEmpty(origin) || !policy.AllowAnyOrigin && !policy.Origins.Contains(origin))
        {
            return;
        }

        //...
    }
}

复制代码

复制代码

(这里竟然有重复代码,又增添了一份不舒服的感觉,暂且不管)

原来是通过 !policy.Origins.Contains(origin) 判断的,只要修改这个地方的判断代码,就能实现一劳永逸的偷懒目的。但是,这部分代码不是随意可以修改的,要走代码贡献流程,而且不一定被接受,目前还是先想办法扩展它吧。

英明的 ASP.NET CORS 开发者早就考虑了这个地方的扩展性,将 EvaluateRequest() 与 EvaluatePreflightRequest 定义为虚拟方法,我们只需定义一个子类继承自 CorsService ,覆盖这两个方法即可。

接下来就是解决如何覆盖的问题。把父类中的实现代码复制过来修改不可取,以后 ASP.NET CORS 升级了,这部分代码改了,就会带来问题。我们需要想办法在不改变现有处理逻辑的前提下,影响处理结果。

我们继续看 !policy.Origins.Contains(origin) ,policy.Origins 的类型是 IList<string> ,它存储的就是我们在定义 CORS 策略时添加的网址,所以,如果我们想要影响这里的判断结果,唯有改变 policy.Origins 的值。

根据当前的情况,我们可以把问题简化为下面的代码:

复制代码

复制代码

public static void Main(string[] args)
{
    IList<string> origins = new List<string>() { "*.cnblogs.com" };            
    var origin = "http://www.cnblogs.com";
    //在origins中添加"http://www.cnblogs.com"
    Assert.True(origins.Contains(origin));
}

复制代码

复制代码

接下来只需做一件事——集中精力把上面域名出售平台注释变成代码。

。。。

我们将注释变成了下面的代码:

复制代码

复制代码

private void EvaluateOriginForWildcard(IList<string> origins, string origin)
{
    //只在没有匹配的origin的情况下进行操作
    if (!origins.Contains(origin))
    {
        //查询所有以星号开头的origin
        var wildcardDomains = origins.Where(o => o.StartsWith("*"));
        if (wildcardDomains.Any())
        {
            //遍历以星号开头的origin
            foreach (var wildcardDomain in wildcardDomains)
            {
                //如果以.cnblogs.com结尾
                if (origin.EndsWith(wildcardDomain.Substring(1))
                    //或者以//cnblogs.com结尾,针对http://cnblogs.com
                    || origin.EndsWith("//" + wildcardDomain.Substring(2)))
                {
                    //将http://www.cnblogs.com添加至origins
                    origins.Add(origin);
                    break;
                }
            }
        }
    }
}

复制代码

复制代码

然后基于上面的代码实现 CorsService 的子类 WildcardCorsService :

复制代码

复制代码

public class WildcardCorsService : CorsService
{
    public WildcardCorsService(IOptions<CorsOptions> options)
        : base(options)
    {
    }

    public override void EvaluateRequest(HttpContext context, CorsPolicy policy, CorsResult result)
    {
        var origin = context.Request.Headers[CorsConstants.Origin];
        EvaluateOriginForWildcard(policy.Origins, origin);
        base.EvaluateRequest(context, policy, result);
    }

    public override void EvaluatePreflightRequest(HttpContext context, CorsPolicy policy, CorsResult result)
    {
        var origin = context.Request.Headers[CorsConstants.Origin];
        EvaluateOriginForWildcard(policy.Origins, origin);
        base.EvaluatePreflightRequest(context, policy, result);
    }

    private void EvaluateOriginForWildcard(IList<string> origins, string origin)
    {
        //...
    }
}

复制代码

复制代码

然后将其注入:

services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());

(注:这里要用 Add ,不要用 TryAdd ,因为在 service.AddMvc 中已经把 CorsService 注入了,用 Add 才能覆盖 CorsService 的注入。)

最终 ConfigureServices() 中的代码变成了这样:

复制代码

复制代码

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    services.Add(ServiceDescriptor.Transient<ICorsService, WildcardCorsService>());
    services.Configure<CorsOptions>(options => options.AddPolicy(
        "AllowSameDomain",
        builder => builder.WithOrigins("*.cnblogs.com")));
}

复制代码

复制代码

一劳永逸的目标就此达成,不舒服的感觉烟消云散。

技术宅也爱玩游戏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.Net Core Cors间件的深入讲解
10-18
主要给大家介绍了关于.Net Core Cors间件的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
get-wild:从支持通配符的对象提取嵌套属性
04-06
疯狂姓名get-wild-从支持通配符的对象提取嵌套属性特征可配置通配符支持,例如"foo.*.bar" 支持负数组索引,例如"foo[-1].bar" 可插拔路径解析器没有依赖缩小〜750 B +压缩用于函数式编程的咖喱(最后数据)版本...
域名、网址通配符与正则表达式
Impulse is the Devil
03-06 7913
1、通配符通配符,即 * 符号,可以添加在url,代替任意字符。假设您添加的网站域名是url.com,则通配符的使用规则如下: 网站域名后不能直接添加通配符,如url.com* 这种方式会提示错误;通配符域名至少间隔一个字符,如url.com?abab需用url.com?* 来表示; url.com/*,表示包含url.com/ 这个形式的所有url,如 url.com/abab,url.com/abab/cdcd等; url.com/abab*,表示包含url.com/abab这个形式的所有url
域名匹配
游青的博客
04-07 674
import requests import time import xlrd import xlwt import threading import threadpool import socket import os def debug(): import inspect caller_name = inspect.stack()[1][3] print ("[DEBUG]: enter {}...
域名通配符ssl证书_一文了解通配符SSL证书
weixin_42516882的博客
01-02 789
通配符证书又可以称作:通配符ssl证书,通配符域名证书,泛域名证书,Wildcard certificate。来此加密:申请免费的通配符SSL证书。在计算机网络通配符证书是一个可以被多个子域使用的公钥证书。原则上通配符证书是为了服务使用超文本传输安全协议(SSL)的网站,但也有用于其他领域的例子。与一般的证书相比,通配符证书提供了更高的性价比以及更多的便利。域名通配符证书类似 DNS 解析的泛...
IIS 使用多域名通配符证书配置多个站点的方法
01-09
在IIS 7.X,如果在绑定,选定了的不是*开头的通配符证书,上面主机头一栏,自动变成灰色(IIS8没有这个问题),这样就不可以设置主机头,有2种解决办法,第一种比较方便些。导入证书,可以通过MMC,或者IIS方式...
HttpClient.Helpers:一些简单的System.Net.Http.HttpClient测试助手
02-05
为了防止在单元测试发生这种情况,此代码库提供了一些简单的帮助程序。 关键点 :check_mark_button: 劫持您的httpClient请求以返回一些硬编码的响应(此库使它很容易执行此操作) :check_mark_button: 适用于...
ASP.NET 2.0 URL映射技巧
01-01
在项目经常要进行如下映射 将 http://onewww.net/a.aspx?name=llinzzi 映射到 http://onewww.net/llinzzi 首先要解决2个问题 第一是支持通配符的映射 URL映射是asp.net2.0新增的功能,不支持通配符 于是采用了...
什么是多域名通配符证书? 多域名通配符证书可以保护多少域名?多域名通配符证书有什么作用?...
weixin_33937913的博客
06-06 743
域名SSL证书将保护不同的域名,但根据域名记录值来计算,列如:gworg.com、baidu.com、news.hao123.com,是完全不同的域名,那么需要进行3个域名在1个证书内,那么这种证书属于多域名,需要知道的是,在多域名证书:WWW与@属于2个域名通配符SSL证书将保护一级域名旗下的任何自定义二级域名,例如:*.gworg.com,那么包括旗下的任何二级域名:XXX.gworg.c...
全球首款多域名通配符SSL证书
yahoohos博客
08-18 5659
什么是通配符证书,哪到底什么是多域名通配符证书呢?顾名思义,多域名通配符SSL证书(Multi-Domain Wildcard SSL)就是通过技术将多域名证书和通配符证书融合到一起,创建的一种全新SSL证书,这种SSL证书同时支持域名SAN和通配符Wildcard,这种全新型SSL证书就称为多域名通配符SSL证书(Multi-Domain Wildcard SSL)。
通配符(泛域名)SSL证书
07-22 313
SSL数字证书的类型很多,如果按照一张SSL证书保护的域名数量的多少来分类的话,可以将SSL数字证书分为单域名SSL数字证书、多域名SSL数字证书和通配符SSL证书三种,其域名SSL证书和通配符SSL证书都是可以用一张SSL证书保护多个域名网站,只是保护的域名网站的类型不一样,今天随SSL盾小编了解通配符SSL证书吧。2.DV基础型通配符SSL证书这款通配符SSL证书是入门级的通配符SSL证书,通常只需要验证域名所有权就可以签发,比较方便。...
域名通配符ssl证书_单域名域名 通配符SSL证书的区别与选择
weixin_39961636的博客
12-20 152
什么是单域名证书?单域名证书就是只保护一个域名(包括带www和不带www),例如:anxinssl.com以及www.anxinssl.com。当你为带www的域名申请单域名证书的时候,是默认保护不带www的域名的,同样为不带www的域名申请证书时默认带www域名一样。那么,单域名证书多少钱?点击查看单域名SSL证书价格什么是多域名证书?多域名证书顾名思义就是可以同时保护多个域名,例如:anxin...
Let’ s Encrypt 现支持通配符的 HTTPS 认证
weixin_34354173的博客
03-23 124
Let's Encrypt 发布公告称,本周新的 ACME2(Automated Certificate Management Environment 自动证书环境管理) 协议将支持通配符证书!去年我们 写了免费的通配符公告,现在非常高兴看到这个功能发布。 什么是通配符证书 通配符证书是指,一个指定域名的证书,可以用于当前域名的下的全部...
Spring @CrossOrigin 通配符 解决跨域问题
dearbaba_11的博客
04-27 188
Spring @CrossOrigin 通配符 解决跨域问题
生成线上用https证书,支持通配符和多域名,初学Let’s Encrypt用于IIS,纯本地手动
高坚果兄弟
06-09 1743
自简书发布的上篇《生成本地测试用https证书,支持通配符和多域名,初学OpenSSL》以来,本地测试用https用的妥妥的。 线上一直用的腾讯云的免费证书(每个域名都要一个证书(滑稽),今天线上用的通配符证书也搞定了,实现了一个证书包含多个域名(多个泛域名)。 今年(2018)年初Let’s Encrypt已开放了通配符证书的申请《Wildcard Certificates ...
域名、多域名通配符证书评测以及购买建议
cl_989898的博客
05-20 472
   一、单域名、多域名通配符证书定义      单域名SSL证书可以保护一个域名,可以是子域名也可以是主域名,只不过当您申请证书的域名是主域名时,默认保护带www和不带www。例如为“anx...
CORS(跨域资源共享)
allway2的博客
09-05 622
如果您想弄清楚为什么即使您拥有所有正确的标头,浏览器也不发送您的cookie,那可能是SameSite cookie在起作用。这是一个很好的问题,答案很简单:我们发送两个请求。:如果您指定这样的 CORS 标头,您将给予允许的来源完全控制您的网站,包括任何经过身份验证的用户数据和功能。好的,既然您了解了同源策略对您的限制,我将告诉您什么是 CORS,以及它如何帮助您以可控的方式绕过这些限制。您可以使用浏览器的开发人员工具进行验证,或者更好的是,在您的浏览器和网络服务器之间设置一个代理工具,例如。
Asp.Net Core项目跨域策略配置通配符替换二级域名的操作
八步赶蝉
04-23 1280
原理:在AddMVC()里会默认注入跨域的策略处理类,只需在AddMVC()之后,在AddCors()之前, 注入自己的跨域策略处理类,用来替换原来的处理即可。 学习网站:https://www.cnblogs.com/liuqiyun/p/8676776.html 自己的跨域策略处理类: using Microsoft.AspNetCore.Cors.Infrastructu...
.NET core 3.1 报错has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
最新发布
08-24
在.NET Core 3.1,当你在前端发起一个跨域请求时,如果没有在后端接口的响应头设置'Access-Control-Allow-Origin',那么就会出现报错信息"has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource." 。 这是因为浏览器实施了同源策略,限制了跨域请求。跨域请求是指前端代码在一个域名下发起请求,但是请求的目标地址与当前域名不一致。而为了保护用户的安全,浏览器默认不允许这种跨域请求,除非在服务器端设置了相应的响应头,即'Access-Control-Allow-Origin'。这个响应头指定了允许跨域请求的源,可以是具体的域名或者通配符"*"表示允许所有源。 解决这个问题的方法有几种: 1. 在后端代码设置响应头,添加'Access-Control-Allow-Origin',并指定允许跨域请求的源。例如,在.NET Core可以通过使用CORS间件来实现这个设置。在Startup.cs文件的ConfigureServices方法,添加以下代码: services.AddCors(options => { options.AddPolicy("AllowAll", builder => { builder.AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader(); }); }); 然后在Configure方法,使用UseCors方法将该策略应用到所有请求上: app.UseCors("AllowAll"); 2. 如果只允许特定的域名发起跨域请求,可以在设置响应头时指定具体的域名,而不是使用通配符"*"。 3. 如果你使用的是第三方的库或框架,例如jQuery,在发起请求时,可以通过设置xhrFields属性来添加'Access-Control-Allow-Origin'的请求头,例如: $.ajax({ url: 'http://localhost:52156/api/Person/1', type: 'GET', crossDomain: true, xhrFields: { withCredentials: true }, success: function (data) { console.log(data); } }); 通过以上的方法,你可以解决.NET Core 3.1报错"has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource."的问题。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [解决前后端跨域报错:has been blocked by CORS policy: No ‘Access-Control-Allow-Origin](https://blog.csdn.net/wsaicyj/article/details/127814374)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [asp.net core 3.1 解决跨域的问题](https://blog.csdn.net/qq_25086397/article/details/104412767)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值