|
浏览器为了保证安全,会对脚本操作的站点进行限制,这就是同源策略(Same orgin Policy)。
这里的源,指的就是站点。从细节上来说,如果脚本进行跨站点访问并非不允许,而是在脚本
获取响应数据之前,如果发现时跨站点的,但是又没有得到授权,浏览器就会阻止获取数据的操作。
所以跨域资源共享(Cross-Orgin Resource Sharing)时针对浏览器的,像postman之类的http测试工具
就没有同源策略的限制。更准确的说,这是一个授权的过程。
当JS进行跨域访问的时候,浏览器会在请求头自动加上一个Orgin的报头,当AJAX返回数据之后,
浏览器会对名字叫 Access-Control-Allow-Orgin的报头进行检查。如果 Access-Control-Allow-Orgin
的值时*或者包括当前站点,则可以获取数据,否则浏览器就会阻止获取数据,你的JS就会有一个跨域的报错。
你可以把JS当作消费者,WEBAPI当作生产者,只要生产者同意,消费者自然可以消费。
所以解决跨域的根本上就是http的响应需要增加Access-Control-Allow-Orgin的报头,进行授权。
在asp.net webapi中,可以使用类库方式,使用nuget 安装 aspnet.webapi.cors。
在Global.asax文件中
public class WebApiApplication : System.Web.HttpApplication
{
?? ?protected void Application_Start()
?? ?{
?? ? ? GlobalConfiguration.Configuration.EnableCors(new MyCorsPolicyProvider());//启用CROS ?放在最前面
?? ??? ?
?? ??? ?///
?? ??? ?
?? ?}
}
//实现一个自定义的CORS规则,这个规则返回一个CorsPolicy对象,这个对象的几个重要属性就对应了HTTP报头的内容。
public class MyCorsPolicyProvider : ICorsPolicyProvider
{
?? ?public Task<CorsPolicy> GetCorsPolicyAsync(HttpRequestMessage request, CancellationToken cancellationToken)
?? ?{
?? ??? ?Task<CorsPolicy> task = Task<CorsPolicy>.Run(() =>
?? ??? ?{
?? ??? ??? ?CorsPolicy corsPolicy = new CorsPolicy();
?? ??? ??? ?corsPolicy.AllowAnyHeader = true;
?? ??? ??? ?corsPolicy.AllowAnyMethod = true;
?? ??? ??? ?corsPolicy.AllowAnyOrigin = true;//Access-Control-Allow-Orgin="*"?
?? ??? ??? ?return corsPolicy;
?? ??? ?});
?? ??? ?return task;
?? ?}
?? ?
还有一种方式,就是在web.config配置自定义报头内容。
<system.webServer>
?? ? ?<httpProtocol>
?? ??? ? ?<customHeaders>
?? ??? ??? ? ?<add name="Access-Control-Allow-Origin" value="*" />
?? ??? ??? ? ?<add name="Access-Control-Allow-Headers" value="*" />
?? ??? ??? ? ?<add name="Access-Control-Allow-Methods" value="*" />
?? ??? ? ?</customHeaders>
?? ? ?</httpProtocol>
?? ? ?
<system.webServer>
asp.net core 实现跨域方式
app.UseCors(cors=>cors.AllowAnyMethod()
? ? ? ? ? ? .AllowAnyHeader()
? ? ? ? ? ? .AllowAnyOrigin());
?? ??? ??? ?
?? ??? ??? ?
这两种方式,一种时类库方式,一种是配置文件方式都可以解决跨域的问题,因为这两种方式的结果就是
在HTTP响应中添加一个Access-Control-Allow-Orgin="*" ,浏览器看到的你得到了授权自然不然拦截了。
使用类库的方式可以对API 管理的很细,可以到控制器和方法,而使用配置文件就不可能管的那么细了。
当使用配置文件的时候,我猜想应该是IIS读取了配置文件,然后IIS自己加了HTTP的报头。如果要简单,
配置文件应该是最简单的实现方式。如果要详细控制,还是要使用类库。
|