验证环境:

dotnet core 2.1/Asp.net core2.1

一、作用域在中间件层 

配置的方式是在startup.cs文件Configure(IApplicationBuilder app, IHostingEnvironment env)方法中增加跨域配置。官方示例:

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

         public void Configure(IApplicationBuilder app, IHostingEnvironment env)

         {

             if (env.IsDevelopment())

             {

                 app.UseDeveloperExceptionPage();

             }

             app.UseCors(builder => builder.WithOrigins("http://example.com"));

             app.UseMvc();

         }

使用app.UseCors(builder =>builder.WithOrigins("http://example.com"));
"http://example.com"为要允许跨域的地址,WithOrigins可以支持多个地址。

官方说明app.UseCors方法设置须在app.UserMvc 或者app.Run 前。

二、跨域策略定义

可在startup.cs文件ConfigureServices(IServiceCollection services)方法中定义策略,支持定义多个策略。官方示例:

 using System;

 using Microsoft.AspNetCore.Builder;

 using Microsoft.AspNetCore.Hosting;

 using Microsoft.AspNetCore.Http;

 using Microsoft.Extensions.DependencyInjection;

 using Microsoft.Extensions.Logging;

 namespace CorsExample4

 {

     public class Startup

     {

         // This method gets called by the runtime. Use this method to add services to the container.

         // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=398940

         public void ConfigureServices(IServiceCollection services)

         {

             services.AddCors(options =>

             {

                 // BEGIN01

                 options.AddPolicy("AllowSpecificOrigins",

                 builder =>

                 {

                     builder.WithOrigins("http://example.com", "http://www.contoso.com");

                 });

                 // END01

                 // BEGIN02

                 options.AddPolicy("AllowAllOrigins",

                     builder =>

                     {

                         builder.AllowAnyOrigin();

                     });

                 // END02

                 // BEGIN03

                 options.AddPolicy("AllowSpecificMethods",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithMethods("GET", "POST", "HEAD");

                     });

                 // END03

                 // BEGIN04

                 options.AddPolicy("AllowAllMethods",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowAnyMethod();

                     });

                 // END04

                 // BEGIN05

                 options.AddPolicy("AllowHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithHeaders("accept", "content-type", "origin", "x-custom-header");

                     });

                 // END05

                 // BEGIN06

                 options.AddPolicy("AllowAllHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowAnyHeader();

                     });

                 // END06

                 // BEGIN07

                 options.AddPolicy("ExposeResponseHeaders",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .WithExposedHeaders("x-custom-header");

                     });

                 // END07

                 // BEGIN08

                 options.AddPolicy("AllowCredentials",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .AllowCredentials();

                     });

                 // END08

                 // BEGIN09

                 options.AddPolicy("SetPreflightExpiration",

                     builder =>

                     {

                         builder.WithOrigins("http://example.com")

                                .SetPreflightMaxAge(TimeSpan.FromSeconds());

                     });

                 // END09

             });

         }

         // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

         public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)

         {

             loggerFactory.AddConsole();

             if (env.IsDevelopment())

             {

                 app.UseDeveloperExceptionPage();

             }

             app.UseCors("AllowSpecificOrigins");

             app.Run(async (context) =>

             {

                 await context.Response.WriteAsync("Hello World!");

             });

         }

     }

 }

使用app.UseCors("AllowSpecificOrigins");调用具体的跨域策略,“AllowSpecificOrigins”为策略名,跨域作用域在中间层上。
策略定义和使用方法详见官方的参考文章(本文最后给出地址)。

三、作用域在MVC层

在使用MVC时,官方给出的3种设置方式,分别是Action前设置、Controller前设置、全局性设置。

  • Action

在Action 方法前增加标记EnableCors(策略名称).官方示例

 [HttpGet]

 [EnableCors("AllowHeaders")]

 public IEnumerable<string> Get()

 {

     return new string[] { "value1", "value2" };

 }

EnableCors 在Microsoft.AspNetCore.Cors命名空间下。"AllowHeaders"为策略名称。

  • Controller

在Controller前增加标记EnableCors(策略名称).官方示例

[EnableCors("AllowSpecificOrigin")]

public class ValuesController : Controller
  • MVC全局(Globally)

官方说明是通过“CorsAuthorizationFilterFactory”过滤器方式给所有Controller增加跨域设置。官方示例:

 using Microsoft.AspNetCore.Mvc.Cors.Internal;

 ...

 public void ConfigureServices(IServiceCollection services)

 {

     services.AddCors(options =>

     {

      //...策略设置...

      });

     services.AddMvc();

     services.Configure<MvcOptions>(options =>

     {

         options.Filters.Add(new CorsAuthorizationFilterFactory("AllowAllMethods"));

     });

 }

CorsAuthorizationFilterFactory在命名空间Microsoft.AspNetCore.Mvc.Cors.Internal下。“AllowAllMethods”为策略名称。

  • 禁用跨域

官方说明可以使用标记“DisableCors”设置Action或Controller跨域设置不起作用。官方示例:

 [HttpGet("{id}")]

 [DisableCors]

 public string Get(int id)

 {

     return "value";

 }

DisableCors在命名空间Microsoft.AspNetCore.Cors下。

四、整体作用范围

作用范围,Middleware>Globally>Controller>Action。

生效优先顺序是Action,Controller,Globally,Middleware。即Action定义了跨域优先Controller生效,Controller优先Globally,Globally优先Middleware。

如果定义了跨域不生效,就要检查Action 和Controller 及Controller基类是否定义了其他的跨域设置。

官方参考文章:https://docs.microsoft.com/en-us/aspnet/core/security/cors?view=aspnetcore-2.1

Asp.net core 跨域设置的更多相关文章

  1. Asp.net Core 跨域配置

    一般情况WebApi都是跨域请求,没有设置跨域一般会报以下错误 No 'Access-Control-Allow-Origin' header is present on the requested ...

  2. Asp.Net Core跨域配置

    在没有设置跨域配置的时候,Ajax请求时会报以下错误 已拦截跨源请求:同源策略禁止读取位于 http://localhost:5000/Home/gettime 的远程资源.(原因:CORS 头缺少 ...

  3. C# ASP.NET WebApi 跨域设置

    概述 前后端分离开发模式,一定会遇到跨域的问题.这里收集了2种 C# Asp.Net webapi 相关的跨域解决方案,方便后续查找参考. 2021/10/28 更新: 有更加简单高效的方式推荐< ...

  4. Asp.Net WebApi 跨域设置

    跨越问题主要发生在客户端ajax请求时,为了安全设置,默认webapi是不允许ajax跨越请求的,不过有方法设置让支持跨越,我说说最常见的两种方法 一.jquery jsonp 缺点:JSONP也有局 ...

  5. .net core跨域设置

    services.AddCors(options => options.AddPolicy("AllowSameDomain", builder => builder. ...

  6. C# ASP.NET MVC/WebApi 或者 ASP.NET CORE 最简单高效的跨域设置

    概述 前面写了一篇:<C# ASP.NET WebApi 跨域设置>的文章,主要针对 ASP.NET WebApi 项目. 今天遇到 ASP.NET MVC 项目也需要设置跨域,否则浏览器 ...

  7. 连表查询都用Left Join吧 以Windows服务方式运行.NET Core程序 HTTP和HTTPS的区别 ASP.NET SignalR介绍 asp.net—WebApi跨域 asp.net—自定义轻量级ORM C#之23中设计模式

    连表查询都用Left Join吧   最近看同事的代码,SQL连表查询的时候很多时候用的是Inner Join,而我觉得对我们的业务而言,99.9%都应该使用Left Join(还有0.1%我不知道在 ...

  8. ASP.NET WebAPI2复杂请求跨域设置

    ASP.Net Core的跨域设置比较简单  官方都整合了 具体的参见微软官方文档: https://docs.microsoft.com/zh-cn/aspnet/core/security/cor ...

  9. .net core 下的跨域设置

    1.CORS中间件处理跨源请求.以下代码为具有指定源的整个应用程序启用CORS: public void Configure(IApplicationBuilder app, IHostingEnvi ...

随机推荐

  1. 364. Nested List Weight Sum II 大小反向的括号加权求和

    [抄题]: Given a nested list of integers, return the sum of all integers in the list weighted by their ...

  2. linux下安装python,Django,虚拟环境

    linux下python安装步骤: 1.下载python3源码包 wget https://www.python.org/ftp/python/3.6.6/Python-3.6.7.tgz 2.下载p ...

  3. Error configuring application listener of class org.springframework.web.util

    解决方案: 1.打开工程属性对话框,到Deployment Assembly页面,点击Add 2. 选择Jave Build Path Entries 3. 把程序用于的Library加入进来 4.重 ...

  4. Centos6.5搭建vsftpd,并配置用户和密码登录

    Centos6.5搭建vsftpd,并配置用户和密码登录 2017年05月11日 18:40:47 阅读数:6142 1)安装vsftpd yum install vsftpd 2)配置vsftpd配 ...

  5. exception is java.lang.IllegalArgumentException: No auto configuration classes found in META-INF/spring.factories. If you are using a custom packaging, make su re that file is correct.

    spring cloud 项目使用maven 打包报错“No auto configuration classes found in META-INF/spring.factories” 在pom.x ...

  6. java多线程系列13 设计模式 Future 模式

    Future 模式 类似于ajax请求  页面异步的进行后台请求 用户无需等待请求的结果 就可以继续浏览或者操作 核心就是:去除了主函数的等待时间,并使得原本需要等待的时间段可以用于处理其他业务逻辑 ...

  7. Java 8 Lambda 表达式及 Stream 在集合中的用法

    简介 虽然 Java 8 已经发布有一段时间了,但是关于 Java 8 中的 Lambda 表达式最近才开始系统的学习,刚开始就被 Stream 的各种骚操作深深的吸引住了,简直漂亮的不像 Java. ...

  8. 图解HTTP第五章

    与 HTTP 协作的 Web 服务器 一台 Web 服务器可搭建多个独立域名的 Web 网站,也可作为通信路径上的中转服务器提升传输效率. 1>用单台虚拟主机实现多个域名 HTTP/1.1 规范 ...

  9. xbee/xbeeRPOS1、xbee/xbeePROS2C802.15.4/Digimesh功能方法

    Digi XBee 802.15.4的第一个版本也称为S1,是基于Freescale的无线收发器片子设计的.最新的802.15.4模块(内部称号S1B)采用和Digi ZigBee模块相同SOC芯片设 ...

  10. W5100S芯片特性

    W5100S是一款硬连线TCP / IP嵌入式以太网控制器,可使使用SPI(串行外设接口)和并行系统的嵌入式系统更容易实现互联网连接 W5100S适合需要稳定的Internet Connectivit ...