概述: 

  ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作。但是在使用API的时候总会遇到跨域请求的问题,
特别各种APP万花齐放的今天,API的跨域请求是不能避免的。

  在默认情况下,为了防止CSRF跨站的伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页从另外一个域获取数据时就会收到限制。有一些方法可以突破这个限制,那就是大家熟知的JSONP,
当然这只是众多解决方法中一种,由于JSONP只支持GET的请求,如今的复杂业务中已经不能满足需求。而CORS(Cross Origin Resource Sharing https://www.w3.org/wiki/CORS)跨域资源共享,是一种新的header规范,
可以让服务器端放松跨域的限制,可以根据header来切换限制或者不限制跨域请求。重要的是它支持所有http请求方式。

问题:

   XMLHttpRequest 跨域 POST或GET请求 ,请求方式会自动变成OPTIONS的问题。
  由于CORS(cross origin resource share)规范的存在,浏览器会首先发送一次options嗅探,同时header带上origin,判断是否有跨域请求权限,服务器响应access control allow origin的值,
供浏览器与origin匹配,如果匹配则正式发送post请求,即便是服务器允许程序跨域访问,若不支持 options 请求,请求也会死掉。

原因:

  浏览器为了安全起见,会Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法,以及不同类型的主题内容,也就是会先发送一个 options 请求,
问问服务器是否会正确(允许)请求,确保请求发送是安全的。

  出现 OPTIONS 的情况一般为:
    1、非GET 、POST请求
    2、POST请求的content-type不是常规的三个:application/x- www-form-urlencoded(使用 HTTP 的 POST 方法提交的表单)、multipart/form-data(同上,但主要用于表单提交时伴随文件上传的场合)、text/plain(纯文本) 
    3、POST请求的payload为text/html 
    4、设置自定义头部

    OPTIONS请求头部中会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers,发送这个请求后,服务器可以设置如下头部与浏览器沟通来判断是否允许这个请求。
    Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers

解决方法:

方法一:

  此方法功能强大,可以解决ASP.NET Web API复杂跨域请求,携带复杂头部信息,正文内容和授权验证信息

     public class CrosHandler : DelegatingHandler

     {

         private const string _origin = "Origin";

         private const string _accessControlRequestMethod = "Access-Control-Request-Method";

         private const string _accessControlRequestHeaders = "Access-Control-Request-Headers";

         private const string _accessControlAllowOrigin = "Access-Control-Allow-Origin";

         private const string _accessControlAllowMethods = "Access-Control-Allow-Methods";

         private const string _accessControlAllowHeaders = "Access-Control-Allow-Headers";

         protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)

         {

             bool isCrosRequest = request.Headers.Contains(_origin);

             bool isPreflightRequest = request.Method == HttpMethod.Options;

             if (isCrosRequest)

             {

                 Task<HttpResponseMessage> taskResult = null;

                 if (isPreflightRequest)

                 {

                     taskResult = Task.Factory.StartNew<HttpResponseMessage>(() =>

                     {

                         HttpResponseMessage response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);

                         response.Headers.Add(_accessControlAllowOrigin, request.Headers.GetValues(_origin).FirstOrDefault());

                         string method = request.Headers.GetValues(_accessControlRequestMethod).FirstOrDefault();

                         if (method != null)

                         {

                             response.Headers.Add(_accessControlAllowMethods, method);

                         }

                         string headers = string.Join(", ", request.Headers.GetValues(_accessControlRequestHeaders));

                         if (!string.IsNullOrEmpty(headers))

                         {

                             response.Headers.Add(_accessControlAllowHeaders, headers);

                         }

                         return response;

                     }, cancellationToken);

                 }

                 else

                 {

                     taskResult = base.SendAsync(request, cancellationToken)

                         .ContinueWith<HttpResponseMessage>(t =>

                         {

                             var response = t.Result;

                             response.Headers.Add(_accessControlAllowOrigin, request.Headers.GetValues(_origin).FirstOrDefault());

                             return response;

                         });

                 }

                 return taskResult;

                 //return base.SendAsync(request, cancellationToken);

             }

             else

             {

                 return base.SendAsync(request, cancellationToken);

             }

         }

     }
      protected void Application_Start()

         {

             IOCConfig.RegisterAll();

             AreaRegistration.RegisterAllAreas();

             WebApiConfig.Register(GlobalConfiguration.Configuration);

             FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);

             RouteConfig.RegisterRoutes(RouteTable.Routes);

             BundleConfig.RegisterBundles(BundleTable.Bundles);

             GlobalConfiguration.Configuration.MessageHandlers.Add(new CrosHandler());

         }

方法二:

  配置文件中添加如下配置,此方法简单,应对简单的跨域请求

 <system.webServer>

     <httpProtocol>

       <customHeaders>

         <add name="Access-Control-Allow-Origin" value="*" />

         <add name="Access-Control-Allow-Headers" value="Content-Type" />

         <add name="Access-Control-Allow-Methods" value="GET, POST,OPTIONS" />

       </customHeaders>

     </httpProtocol>

 <system.webServer>

参考文献:

  https://code.msdn.microsoft.com/windowsdesktop/Implementing-CORS-support-a677ab5d#content

基于.Net Framework 4.0 Web API开发(5):ASP.NET Web APIs AJAX 跨域请求解决办法(CORS实现)的更多相关文章

  1. vue-cli开发时,ajax跨域详细解决办法

    在config/index.js中进行如下配置 [即在进行ajax请求时,地址中任何以/api开头的请求地址都被解析为目标地址,target就是你想要的后台接口地址] proxyTable: { '/ ...

  2. $.ajax 跨域请求 Web Api

    WepApi确实方便好用,没有配置文件,一个apicontroller直接可以干活了.但今天用$.ajax跨域请求的时候总是获取不到数据,用fiddler一看确实抓到了数据,但回到$.ajax函数中, ...

  3. ASP.NET Web API 框架研究 ASP.NET Web API 路由

    ASP.NET Web API 核心框架是一个独立的.抽象的消息处理管道,ASP.NET Web API有自己独立的路由系统,是消息处理管道的组成部分,其与ASP.NET路由系统有类似的设计,都能找到 ...

  4. 关于ajax跨域请求API数据的一些问题

    一般来说我们使用jquery的ajax来跨域请求API数据的时候每次请求,就只能请求一组数据,而且当我们再次点击发送ajax请求的时候,新请求的数据会覆盖掉原来的数据,那么如何每次在请求的数据的时候, ...

  5. ASP.net Web API允许跨域访问解决办法

    来源 http://blog.csdn.net/wxg_kingwolfmsncn/article/details/48545099 遇到此跨域访问问题,解决办法如下:   方法一:   1. 在we ...

  6. web api :Routing in ASP.NET Web API

    引 Web API 和SignalR都是在服务层. If you are familiar with ASP.NET MVC, Web API routing is very similar to M ...

  7. Vue应用请求SpringBoot API出现 CORS 跨域请求设置 Invalid CORS request错误

    1.全局配置 在application.java文件添加CorsRegistry配置 package com.ypnh.authority; import com.ypnh.authority.inf ...

  8. asp web api json 序列化后 把私有字段信息也返回了解决办法

    serialization returns private properties Are your types marked as [Serializable]? Serializable means ...

  9. asp.net core 创建允许跨域请求的api, cors.

    配置应用方域名. 在webapi中引用cors包,在startup的Configure\ConfigServices中增加启动项配置,在api中增加EnableCors的Attribute属性.即可. ...

随机推荐

  1. nanoTime对volatile 测试的一种写法

    今天脑筋有点搭牢,想了半天才看出为什么以下两段代码效果是相同的... 第一种好处是可以直接批量复制黏贴system.out,  不用改什么东西 private static long i;  priv ...

  2. MVVM架构~knockoutjs系列之为Ajax传递Ko数组对象

    返回目录 一些要说的 这是一个很有意思的题目,在KO里,有对象和数组对象两种,但这两种对象对外表现都是一个function,如果希望得到他的值,需要进行函数式调用,如ko_a(),它的结果为一个具体值 ...

  3. Atitit 图像处理 公共模块 矩阵扫描器

    Atitit 图像处理 公共模块 矩阵扫描器 1.1. 调用说明对矩阵像素遍历处理调用1 2. 矩阵扫描器主题结构1 2.1. 主要说明 从像素点开始填充矩阵1 2.2. 得到模板中心点所对应的图像坐 ...

  4. 详解JavaScript模块化开发

    什么是模块化开发? 前端开发中,起初只要在script标签中嵌入几十上百行代码就能实现一些基本的交互效果,后来js得到重视,应用也广泛起来了,jQuery,Ajax,Node.Js,MVC,MVVM等 ...

  5. CSS实现垂直居中的4种思路

    × 目录 [1]line-height [2]vertical-align [3]absolute [4]flex 前面的话 相对于水平居中,人们对于垂直居中略显为难,大部分原因是vertical-a ...

  6. List和Dictionary泛型类查找效率浅析

    List和Dictionary泛型类查找效率存在巨大差异,前段时间亲历了一次.事情的背景是开发一个匹配程序,将书籍(BookID)推荐给网友(UserID),生成今日推荐数据时,有条规则是同一书籍七日 ...

  7. Floyd算法(三)之 Java详解

    前面分别通过C和C++实现了弗洛伊德算法,本文介绍弗洛伊德算法的Java实现. 目录 1. 弗洛伊德算法介绍 2. 弗洛伊德算法图解 3. 弗洛伊德算法的代码说明 4. 弗洛伊德算法的源码 转载请注明 ...

  8. 硬刚Google ,这家小公司的增长团队长啥样

    背景: AdRoll 是一家主打重定向广告(Retargeting)服务的技术公司,基于用户浏览记录等信息,为广告主提供几乎瞬时的广告位购买服务,当前估值15.5亿美元.吊打谷歌, AdRoll 已经 ...

  9. Nutch源码阅读进程1---inject

    最近在Ubuntu下配置好了nutch和solr的环境,也用nutch爬取了一些网页,通过solr界面呈现,也过了一把自己建立小搜索引擎的瘾,现在该静下心来好好看看nutch的源码了,先从Inject ...

  10. 给 Web 前端开发人员推荐20款 CSS 编辑器

    CSS 和 HTML,JavaScript 是网页的基础,作为前端开发人员,对这三者都要很熟悉.特别是未来流行全栈开发的时代,每项技术都是你知识结构中必要的一个节点. 在开发中,选择好工具是非常重要的 ...