.NET Core API CORS的实现

最近参与一个前后端分离的项目,后端基于 .NET Core 2.1 开发,在进行前后端对接的过程中,被跨域问题折腾得有点脾气了,这里把经验和大家分享一下。

GET/POST 请求

在服务端不做任何调整的情况下,前端发起 AJAX 请求,如:

$.ajax({
	type: 'get',
	url: 'http://localhost:5000',
	success: function (result) {
		$('#result').html(result);
	}
});

200 !!!好像很正常的样子,看似没毛病。但会发现 Response 内屁都没有,然后回到浏览器 Console 查看会有一个错误信息,提示不支持跨域访问,凉凉。

JSONP

在遇到跨域问题时很容易想到 JSONP 的解决方式,但也只限于 GET 请求,POST 据说比较艰难,我自己也没试用,这里就不测试了。

$.ajax({
	type: 'get',
	url: 'http://localhost:5000/home/jsonpTest',
	data: {
		name: 'beck'
	},
	dataType: "jsonp",
	jsonpCallback: "jsonpCallback",
	success: function (result) {
		$('#result').html(result.Data);
	}
});

那么现在问题来了,JSONP 和 GET 请求毕竟有自身的一些限制,如果非要 POST 怎么办?那就选择 CORS 吧 !

CORS

CORS (Cross-Origin Resource Sharing, 跨源资源共享) 是W3C出的一个标准,其思想是使用自定义的 HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。CORS 与 JSONP 都可以做到跨源资源共享,但与 JSONP 不同,CORS 可以支持除 GET 方式以外所有类型的 HTTP 请求。

在介绍实现方式之前先简单了解部分 CORS 相关的理论,不然可能对遇到的问题会有点懵,特别其中的 OPTIONS 请求,明明设置的是 GET、POST 方式,怎么就多出一个 OPTIONS 请求?

CORS 请求分简单请求和复杂请求:

简单请求

同时满足以下条件的归类为简单请求:

  1. 请求方式是 HEAD 、GET、POST中的一种;
  2. HTTP的头信息不超出 Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type 字段;
  3. Content-Type 只限于 application/x-www-form-urlencoded、multipart/form-data、text/plain 三个之一;

简单请求只需要服务端设置 Access-Control-Allow-Origin 允许请求来源地址即可,我们可以在 .NET Core API 项目的 Startup.cs 中进行如下调整:

public void ConfigureServices(IServiceCollection services)
{
	// 添加支持跨域请求
	services.AddCors();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
	// 设置允许的请求来源,我本地请求发起方所在地址是 http://localhost:53894
	app.UseCors(options => options.WithOrigins("http://localhost:53894"));
}

前端发起 GET 或 POST 请求:

$.ajax({
	type: 'post',
	url: 'http://localhost:5000/home/fromFormTest',
	data: {
		name: 'beck'
	},
	success: function (result) {
		$('#result').html(result.data);
	}
});

复杂请求

不满足简单请求条件的统一归类为复杂请求,复杂请求会在正式通信之前增加一次 OPTIONS 请求,称为 “预检” 请求,通过预检请求中的返回头信息,判断当前请求是否被允许。

我们可以设置 contentType 为 application/json,此请求就变成了复杂请求:

$.ajax({
	type: 'post',
	url: 'http://localhost:5000/home/fromBodyTest',
	contentType: 'application/json',
	data: JSON.stringify({
		name: 'beck'
	}),
	success: function (result) {
		$('#result').html(result.data);
	}
});

如果 API 项目中的 Startup.cs 保持上面的调整后不变,会看到 OPTIONS 请求中Response Headers 信息并没有出现允许请求的源地址 Access-Control-Allow-Origin ,这就代表预检失败了,继续凉凉。

这是因为在预检请求的返回头中还必须要设置 Access-Control-Request-Method 和 Access-Control-Request-Headers。app.UseCors 是支持设置某些头信息或者某些请求类型,这些在使用时看实际情况而定。

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
	// 设置允许的请求来源地址、头信息、请求类型
	app.UseCors(options => options
		.WithOrigins("http://localhost:53894")
		.AllowAnyHeader()
		.AllowAnyMethod()
	);
}

预检通过之后,会发起 POST 请求:

Cookie

如果请求需要携带 Cookie 到服务端,那还需要稍微做一些调整,如下:

Startup.cs 增加 AllowCredentials 配置:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
	// 设置允许的请求来源地址、头信息、请求类型、Cookie
	app.UseCors(options => options
		.WithOrigins("http://localhost:53894")
		.AllowAnyHeader()
		.AllowAnyMethod()
		.AllowCredentials()
	);
}

AJAX 请求中也需要增加 withCredentials 设置:

setCookie('name', 'test');
$.ajax({
	type: 'post',
	url: 'http://localhost:5000/home/fromBodyTest',
	contentType: 'application/json',
	data: JSON.stringify({
		name: 'beck'
	}),
	xhrFields: {
		withCredentials: true
	},
	success: function (result) {
		$('#result').html(result.data);
	}
});

通过以上代码简单的修改,就实现了 CORS 。在实际的内网或生产环境,可能会从运维层面通过 Nginx 或者其他的设置做到不修改代码也能完美支持。

参考资料

ASP.NET Core CORS

CORSSample

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • 谈谈如何在ASP.NET Core中实现CORS跨域

    CORS(Cross-origin resource sharing)是一个W3C标准,翻译过来就是 "跨域资源共享",它主要是解决Ajax跨域限制的问题. CORS需要浏览器和服务器支持,现在所有现代浏览器都支持这一特性.注:IE10及以上 只要浏览器支持,其实CORS所有的配置都是在服务端进行的,而前端的操作浏览器会自动完成. 在本例中,将演示如何再ASP.NET Core中实现CORS跨域. 前期准备 你需要windows系统. 你需要安装IIS. 推荐使用VS2015 Upda

  • .Net Core Cors中间件的深入讲解

    同源策略和资源跨域共享 1.同源策略 同源策略,它是由Netscape提出的一个著名的安全策略.现在所有支持JavaScript 的浏览器都会使用这个策略.所谓同源是指,域名,协议,端口相同. 1.1.目的 主要是为了保证用户信息的安全,防止网站窃取用户数据.假如没有同源策略,可能就会有下面这种情况的发生.用户访问两个网站A/B,并登录了A网站,A网站会在计算机本地存储Cookie或者Token等等,在访问B网站的时候,B网站就可以访问这些本地的存储信息,B网站可以使用用户的Cookie去登录A

  • .NET Core API CORS的实现

    最近参与一个前后端分离的项目,后端基于 .NET Core 2.1 开发,在进行前后端对接的过程中,被跨域问题折腾得有点脾气了,这里把经验和大家分享一下. GET/POST 请求 在服务端不做任何调整的情况下,前端发起 AJAX 请求,如: $.ajax({ type: 'get', url: 'http://localhost:5000', success: function (result) { $('#result').html(result); } }); 200 !!!好像很正常的样子

  • .Net Core Api 使用版本控制详解

    Api的版本控制是Api开发中经常遇到的问题, 在大部分中大型项目都需要使用到Api的版本控制 在本篇博客中,我们将说明一下如何在.Net Core Api项目中使用Api版本控制. 本篇博客中测试项目的开发环境: Visual Studio 2017 .Net Core 2.1 SDK 1,安装Microsoft.AspNetCore.Mvc.Versioning NET Core Mvc中,微软官方提供了一个可用的Api版本控制库Microsoft.AspNetCore.Mvc.Versio

  • IdentityServer4实现.Net Core API接口权限认证(快速入门)

    什么是IdentityServer4 官方解释:IdentityServer4是基于ASP.NET Core实现的认证和授权框架,是对OpenID Connect和OAuth 2.0协议的实现. 通俗来讲,就是服务端对需要认证授权的资源(客户端请求资源)在外层使用IdentityServer4框架进行封装加壳,用户只能通过获取IdentityServer4颁发的Token令牌才能进行资源访问. 下面开始进入正题,如何快速搭建实现API接口鉴权. 准备:1.下载准备NetCore sdk环境 2.

  • ASP .NET Core API发布与部署以及遇到的坑和解决方法

    最近在写.Net Core的API,由于之前没接触过Core,所以自己的想法很简单,感觉和.Net都是差不多的东西,发布部署还是按.Net的那一套来,可谓是困难重重,走了不少弯路. 也没什么漂亮的词语,也不是技术大牛,就是抱着学习技术的态度,随手写写这一套流程,以及遇到的问题跟解决方法. 一.安装服务器环境 IIS  Path-->Control Panel\All Control Panel Items\Programs and Features 没细致研究,全装了~ 二.发布API 1.选择

  • .net core Api 部署到Linux的方法步骤

    一.环境介绍 1..net开发环境:asp.net core 3.1 2.Linux环境:CentOS Linux release 7.9.2009 (Core) 3.Swagger: Swashbuckle.AspNetCore6.0 4.开发工具:VS2019,xShell7,xFtp7 二.搭建API 2.1使用vs2019新建一个API项目 2.2安装Swagger 选择上面的工具-->NuGet包管理器-->管理解决方案的管理包 搜索Swashbuckle.AspNetCore,并安

  • ASP.NET Core Api网关Ocelot的使用初探

    概述 Ocelot面向使用.NET运行微型服务/面向服务的体系结构的人员,这些体系结构需要在系统中具有统一的入口点.特别是我想与IdentityServer参考和承载令牌轻松集成.Ocelot是按特定顺序排列的一堆中间件.Ocelot将HttpRequest对象操作到由其配置指定的状态,直到到达请求构建器中间件,在该中间件中它创建一个HttpRequestMessage对象,该对象用于向下游服务发出请求.发出请求的中间件是Ocelot管道中的最后一件事.它不会调用下一个中间件.有一块中间件可将H

  • .NET Core API之格式化输出对象OutputFormatter

    相信大家在项目中都用过统一响应参数模板. 先声明一个响应模板类: public class ResponseDto { public int code { get; set; } public string msg { get; set; } public object data { get; set; } } 再定义返回成功和失败的方法: public IActionResult Success(object data) { return ...... } public IActionResu

  • .net core api接口JWT方式认证Token

    一.项目>管理Nuget包 安装 二..appsettings.json添加 "JWT": { "Secret": "~!@#$%^&*()_+qwertyuiopasldkh[o51485421ajshk^%*)kasd", // 密钥 "Issuer": "kfjdhf", // 颁发者 "Audience": "kfjdhf", // 接收者 //

  • 深入讲解.Net Core中的Api版本控制

    前言 .NET Core 是指 .NET Core 运行时和 .NET Core SDK,它包含开发应用程序所需的工具. .NET Core SDK 可与任何以前版本的 .NET Core 运行时一起使用. 本文主要介绍了关于.Net Core Api版本控制的相关内容,下面话不多说了,来一起看看详细的介绍吧 原文链接:API Versioning in .Net Core 作者:Neel Bhatt 简介 Api的版本控制是Api开发中经常遇到的问题, 在大部分中大型项目都需要使用到Api的版

  • 浅谈ASP.Net Core WebApi几种版本控制对比

    一.版本控制的好处: (1)有助于及时推出功能, 而不会破坏现有系统. (2)它还可以帮助为选定的客户提供额外的功能. API 版本控制可以采用不同的方式进行控制,方法如下: (1)在 URL 中追加版本或作为查询字符串参数, (2)通过自定义标头和通过接受标头 在这篇文章中, 让我们来看看如何支持多个版本的 ASP.NET Core Web API. 一.创建asp.net core webapi 项目,引用NuGet包:Install-Package Microsoft.AspNetCore

随机推荐