ASP.NET Core-允许跨域(CORS)
2021-01-20 21:12
标签:core 通过 policy cti 跨域 str point 限制 not 浏览器安全不允许不同域名的网页之间发送请求。这种限制叫做同源策略(the same-origin policy)。 CORS中间件处理跨域请求。下面的代码允许指定的源能对整个应用进行跨域请求 CORS中间件处理跨域请求。下面的代码允许指定的源能对整个应用进行跨域请求 [EnableCors]属性提供了另一种方式设置跨域。即可以只设置选择的终端,而不是所有的终端. SetIsOriginAllowedToAllowWildcardSubdomains:设置策略的 IsOriginAllowed 属性,使可以匹配一个配置的带通配符的域名 参考:https://docs.microsoft.com/zh-cn/aspnet/core/security/cors ASP.NET Core-允许跨域(CORS) 标签:core 通过 policy cti 跨域 str point 限制 not 原文地址:https://www.cnblogs.com/fanfan-90/p/13305133.html介绍
同源策略可以防止一个恶意的站点读取另一个站点的敏感数据。
有时候,你想允许网站发送跨域的请求到你的应用。带策略的CORS 和中间件
案例:
这个代码会把CORS策略通过CORS中间件应用到这个应用的所有终端(endpoints);即把跨域作用到整个应用public void ConfigureServices(IServiceCollection services)
{
string[] origins = new string[] { "http://*.fan.com", "https://*.fan.com", "http://*.fan.net", "https://*.fan.net" };
services.AddCors(option => option.AddPolicy("cors", policy => policy
.AllowAnyHeader()//允许所有的请求头
//.WithHeaders(HeaderNames.ContentType, "x-custom-header");//要允许一个CORS请求中指定的请求头,可以使用 WithHeaders 来指定
.AllowAnyMethod()
.SetIsOriginAllowedToAllowWildcardSubdomains()//使可以匹配一个配置的带通配符的域名
.WithOrigins(origins) //指定来源域名
.AllowCredentials()
));
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env, IHostApplicationLifetime applicationLifetime, ILogger使用[EnableCors]属性设置允许跨域
这里不同于上面的那种方式,上面的方式是应用的所有终端都会被设置允许跨域;
使用[EnableCors]来指定默认的策略,而[EnableCors("{Policy String}")] 指定了特定的策略;
[DisableCors]属性可以禁止CORS; [EnableCors("AnotherPolicy")]
[HttpGet]
public ActionResultCORS 策略(Policy)的选项:
AllowAnyMethod:设置允许的HTTP methods
WithHeaders:要允许一个CORS请求中指定的请求头,可以使用 WithHeaders 来指定
AllowAnyHeader:允许所有的请求头
withCredentials:允许在跨域请求中发送证书
WithExposedHeaders:暴露指定的响应头注意:如果 Access-Control-Allow-Credentials 头部出现了,则意味着 设置为所有的源 (setting origin to " * ")会失效。
文章标题:ASP.NET Core-允许跨域(CORS)
文章链接:http://soscw.com/index.php/essay/44703.html