2. 程式人生 > >ASP.NET跨域請求中的問題【CORS】

ASP.NET跨域請求中的問題【CORS】

阿新 發佈:2019-01-05

瀏覽器的安全策略會阻止網頁向另一個站點發送ajax請求,同時也會阻止惡意站點從另一個站點讀取資料。這種限制被稱作“同源策略”。然而有時我們需要從一個站點訪問另一個站點,比如從一個站點訪問你的WebApi介面。
跨域資源共享-Cross Origin Resource Sharing(CORS)是一項W3C標準,允許服務端釋放同源策略,使得服務端在接受一些跨域請求的同時拒絕其他的跨域請求。相比較早期的JSONP等技術而言,CORS更加安全更加靈活。

1.什麼是“跨域”?

如果兩個URL的協議、域名、埠相同,那麼這兩個URL就是同源。不是同源的就是跨域的,也就是說凡是傳送請求URL的協議、域名、埠三者中任意一個與當前頁面的URL不同即為跨域。

下面的URL和上面兩個都不是同源的,也即是跨域的

注意:IE在比較是否同源時不考慮埠號

2.CORS如何工作

CORS特性提供了多個Http請求頭以供跨域請求使用。如果一個瀏覽器支援CORS,它會自動的為跨域請求加上相應的http請求頭,並不需要在javaScript中新增額外程式碼。

下面是一個跨域請求的示例,在Http請求頭的“Origin”項中是發起請求的站點域名。

GET http://myservice.net/api/test HTTP/1.1
Referer: http://myclient.net/
Accept: * / *
Accept-Language: en-US
Origin:

http://myclient.net
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
Host: myservice.net

如果服務端允許了這個跨域請求,它會在http的Response的頭部設定項Access-Control-Allow-Origin。只有當Response中Access-Control-Allow-Origin的值與Request中Origin的值相匹配時,這個請求才會成功。如果Access-Control-Allow-Origin的值是”*”,則意味著任意跨域訪問都是被允許的。

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: text/plain; charset=utf-8
Access-Control-Allow-Origin: http://myclient.net
Date: Wed, 05 Jun 2013 06:27:30 GMT
Content-Length: 17

如果在HttpResponse的頭部中沒有包含Access-Control-Allow-Origin項,跨域請求會失敗。即使服務端已經返回了正確的反饋,瀏覽器也不會將這個返回傳遞給客戶端應用。

No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://myclient.net’ is therefore not allowed access. The response had HTTP status code 500.

對於一些CORS請求,瀏覽器會在傳送實際需要的請求之前傳送一個額外的請求,我們稱之為“前置請求”。前置請求使用了Http Options方法,它包含了兩個特殊的請求頭Access-Control-Request-Method和Access-Control-Request-Headers。

OPTIONS http://myservice.net/api/test HTTP/1.1
Accept: * / *
Origin: http://myclient.net
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: accept, x-my-custom-header
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
Host: myservice.net
Content-Length: 0

也就是說瀏覽器傳送了兩次請求,首先發送前置請求,驗證當前傳送請求的站點是否在允許訪問的域的範圍內,若驗證通過就傳送真正的請求獲取資料,否則請求就會被拒絕。在瀏覽器的除錯介面(F12-Network)我們也可以看到請求是有兩次。

在下列情況下,瀏覽器會跳過前置請求:
1.Http請求方法是GET、HEAD或POST
2.Http請求的Content-Type是application/x-www-form-urlencoded、multipart/form-data、text/plain
3.Http請求頭包含了Accept, Accept-Language, Content-Language, Content-Type

3.如何使用CORS

在ASP.NET應用中,可以使用NuGet獲取多個關於CORS的類庫:
這裡寫圖片描述
這些類庫分別位於Owin和AspNet名稱空間下,是CORS標準的不同實現,最終實現的效果是一樣的,只是使用環境和方式不太一樣。

3.1為WebApi新增CORS

通過NuGet安裝Microsoft.AspNet.WebApi.Cors為WebApi新增CORS。使用[EnableCros]屬性可以全域性設定CORS,也可以為Controller或Action單獨設定CORS。

全域性(Global)設定

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        config.EnableCors();
    }
} 

Controller設定

[EnableCors]
public class ValuesController : ApiController
{
    public HttpResponseMessage Post() { ... }
    [DisableCors]
    public HttpResponseMessage PutItem(int id) { ... }
}

Action設定

public class ValuesController : ApiController
{
    public HttpResponseMessage Post() { ... }

    [EnableCors]

    public HttpResponseMessage PutItem(int id) { ... }
}

其中[EnableCros]屬性有多個項可以設定,可以實現指定的站點才允許跨域訪問:[EnableCros(origin:”“,headers:”“,methods:”*”)]

3.2通過Owin實現CORS

Owin是微軟推廣的.NET Web應用程式與Web伺服器之間的介面,通過Owin實現CORS需要使用NuGet安裝Microsoft.Owin.Cros。在專案中新增Owin的Startup類:

public partial class Startup
{
    public void Configuration(IAppBuilder app)
    {
        //允許跨域訪問  
        app.UseCors(CorsOptions.AllowAll);
    }
}

或者在web.config的system.webServer項下新增:

    <httpProtocol>
      <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*"/>
        <add name="Access-Control-Allow-Headers" value="*"/>
        <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE"/>
      </customHeaders>
    </httpProtocol>

對於WebApi或MVC,如果已經引用並實現了Owin中的CROS,就不需要在WebApiConfig中設定config.EnableCros()了。

3.3.其他實現CORS的方式

除了在程式碼和配置檔案中新增CORS外,還可以在網站釋出後通過修改IIS配置來實現CORS
開啟IIS管理器,找到你的站點中的“HTTP響應標頭”:
這裡寫圖片描述

新增HTTP響應標頭:

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:origin,x-requested-with,content-type
Access-Control-Allow-Methods:POST,GET,OPTIONS
Access-Control-Allow-Origin:*

注意:如果應用程式包含上述兩種以上情況時,只需在一處設定CORS,否則訪問應用時會出錯(Access-Control-Allow-Origin的值只能有一個):

Response to preflight request doesn’t pass access control check:The ‘Access-Control-Allow-Origin’ header contains multiple values ‘http://myclient.net,*’,but only one is allowed. Origin ‘http://myclient.net’ is therefore not allowed access.

參考文章

相關推薦

ASP.NET請求的問題CORS

瀏覽器的安全策略會阻止網頁向另一個站點發送ajax請求,同時也會阻止惡意站點從另一個站點讀取資料。這種限制被稱作“同源策略”。然而有時我們需要從一個站點訪問另一個站點,比如從一個站點訪問你的WebApi介面。 跨域資源共享-Cross Origin Resou

ASP.NET MVC & WebApi 實現Cors來讓Ajax可以訪問 (轉載)

詳細 簡介 part bsp bob 打印 不能 res user 什麽是Cors? CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了

asp.net獲取 client的機器名

pre str ipaddr ring 主機 name pad ip地址 計算 //獲取客戶端計算機名稱 System.Net.IPAddress clientIP = System.Net.IPAddress.Parse(Request.Us

Asp.Net Asp.Net MVC ,Session共享

.config jquer methods setup -a oss asp ont config 比如 http://www.test.com 和 http://m.test.com 簡單粗暴的方法 Web.Config <system.web>

Spring Boot Web應用開發 CORS 請求設定 Invalid CORS request

使用SpringBoot Web開發程式時,前後端分離時,經常遇到跨域問題,特別是很多情況下Firefox瀏覽器沒有問題,而chrome瀏覽器有問題,僅僅從瀏覽器的web控制檯很難發現有效的錯誤或者告警資訊,因此在開發程式很有必要在開發階段就考慮到並配置好跨域。 SpringBoot

CROS Ajax 請求攜帶 cookie 做身份認證 (xhr withCredentials屬性)

好吧,一如既往的短篇記錄性文章,記下坑供查閱 原因大概是這樣的,公司有很多內網的服務系統,同屬於同一個主域,但是是不同的子域,然後呢,當在一個系統需要呼叫另一個系統的時候,就會出現跨域的問題。所以呢,我們打算寫一個通用代理程式來做中轉,然後呢,先簡單貼一下程式碼吧 var server =

搞定所有的請求問題 : jsonp & CORS

網上各種跨域教程,各種實踐,各種問答,除了簡單的 jsonp 以外,很多說 CORS 的都是行不通的,老是缺那麼一兩個關鍵的配置。本文只想解決問題,所有的程式碼經過親自實踐。 本文解決跨域中的 get、post、data、cookie 等這些問題。 本文只會說 g

搞定所有的請求問題 jsonp CORS

網上各種跨域教程,各種實踐,各種問答,除了簡單的 jsonp 以外,很多說 CORS 的都是行不通的,老是缺那麼一兩個關鍵的配置。本文只想解決問題,所有的程式碼經過親自實踐。   本文解決跨域中的 get、post、data、cookie 等這些問題。  

http 請求header設定--cors

Cross-Origin Resource Sharing (CORS) 跨域:頁面開啟的http與請求的http的地址不一樣 (看位址列和你的請求url域名或ip) //跨域的瀏覽器會讓請求帶Or

請求——jsonp與cors

1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="UTF-8"> 5 <title>Insert title here</title> 6 <script type

請求常見的幾個問題

一. Header相關的幾個概念 CORS: 跨域資源共享(CORS) 是一種機制,它使用額外的 HTTP頭來告訴瀏覽器  讓執行在一個 origin (domain) 上的Web應用被准許訪問來自不同源伺服器上的指定的資源。當一個資源從與該資源本身所在的伺服器不同的域、協議或埠請求一個資源時,資源會發起一個

nginx配置解決問題(初學者詳細教程)

解壓後開啟nginx資料夾 3.啟動nginx,當前資料夾下開啟cmd命令視窗(當前資料夾位址列輸入cmd直接回車也行) 啟動命令:nginx.exe 重新整理配置重啟:nginx.

ASP.net core API請求的異常處理遇到的坑

首先,AP跨域請求,VS2017中nuget要加上中介軟體: Microsoft.AspNetCore.Cors  我使用的2.1.1版本。 然後在Startup中這樣寫: app.UseHttpsRedirection().UseCors(buil

asp.net core 使用SignalR請求出現的坑

前段時間因為工作需要,認識到了SignalR,這個東西本身挺好用,但是在處理跨域問題上是遭遇了很大的坑。 我在本地通過localhost連線的時候毫無問題,但是當我在前端使用IP來連線我的後臺,則會出現連線失敗的問題。查閱了很多,詢問公司內的大牛之後,找到一個正確解決方案,

ReactFetch之cors請求的使用

本篇文章主要介紹了react中fetch之cors跨域請求的實現方法,寫的十分的全面細緻,具有一定的參考價值,對此有需要的朋友可以參考學習下。如有不足之處,歡迎批評指正。 專案中使用了react,當中需要使用fetch來代替ajax。 由於react的create_reac

OPTIONS 方法在請求CORS的應用

OPTIONS 方法比較少見,該方法用於請求伺服器告知其支援哪些其他的功能和方法。通過 OPTIONS 方法,可以詢問伺服器具體支援哪些方法,或者伺服器會使用什麼樣的方法來處理一些特殊資源。可以說這是一個探測性的方法,客戶端通過該方法可以在不訪問伺服器上實際資源的情況下就知道處理該資源的最優方式。

請求asp.net core webapi 介面,返回自定義header

這個簡單的問題對於初學core的我來說還是折騰了好久,然後加了一個群問了一下,終於解決了,感謝大神的指點; 官方api: 總結:閱讀官方的api文件很重要啊,慚愧啊; 然後以此備忘吧。 我在header裡面返回自定義引數count,startup.cs配置如下:

ASP.NET MVC 實現 AJAX 請求

ASP.NET MVC 實現AJAX跨域請求的兩種方法 通常傳送AJAX請求都是在本域內完成的,也就是向本域內的某個URL傳送請求,完成部分頁面的重新整理。但有的時候需要向其它域傳送AJAX請求,完成資料的載入,例如Google。     在ASP.NET MVC 框架裡實

ASP.NET WebAPI2複雜請求設定

ASP.Net Core的跨域設定比較簡單  官方都整合了 具體的參見微軟官方文件: https://docs.microsoft.com/zh-cn/aspnet/core/security/cors?view=aspnetcore-3.1#ecors   跨域條件 跨域是指的當前資源訪

Azure API 管理APIM CORS策略設定後,請求成功和失敗的Header對比實驗

  在文章“從微信小程式訪問APIM出現200空響應的問題中發現CORS的屬性[terminate-unmatched-request]功能”中分析了CORS返回空200的問題後,進一步對APIM的CORS策略進行驗證,深入學習<CORS 跨域資源共享>。 首先,我們已經學習到COR