标签:jsonp com 程序 需要 sem 就会 set config lang
CORS 全称"跨域资源共享"(Cross-origin resource sharing)。
跨域就是不同域之间进行数据访问,比如 a.sample.com 访问 b.sample.com 中的数据,我们如果不做任何处理的话,就会出现下面的错误:
XMLHttpRequest cannot load b.sample.com. No ‘Access-Control-Allow-Origin‘ header is present on the requested resource. Origin ‘a.sample.com‘ is therefore not allowed access. The response had HTTP status code 404.
请求和响应信息:
Response Headers
Content-Type:text/html; charset=utf-8
Server:Microsoft-IIS/10.0
X-Powered-By:ASP.NET
Request Headers
Accept:*/*
Accept-Encoding:gzip, deflate
Accept-Language:zh-CN,zh;q=0.8
Connection:keep-alive
Content-Length:32384
Host:b.sample.com
Origin:a.sample.com当请求发起后,Host 会获取 Origin,然后进行判断是否同意这个请求,判断的标准就是 Access-Control-Allow-Origin,如果 Host 服务器指定了 Origin 的配置,那么在响应头就会有:
Access-Control-Allow-Origin:a.sample.com相关的 Access-Control-*:
withCredentials = true;。以上是 CORS 的基本相关信息,我们在 ASP.NET MVC 应用程序开发中,需要手动配置 CORS:
public class AllowCorsAttribute : ActionFilterAttribute
{
private string[] _domains;
public AllowCorsAttribute(params string[] domains)
{
_domains = domains;
}
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
var context = filterContext.RequestContext.HttpContext;
if (context.Request.UrlReferrer != null)
{
var host = context.Request.UrlReferrer?.Host;
if (host != null && _domains.Contains(host))
{
context.Response.AddHeader("Access-Control-Allow-Origin", $"http://{host}");
}
}
else
{
context.Response.AddHeader("Access-Control-Allow-Origin", "*");
}
context.Response.AddHeader("Access-Control-Allow-Methods", "GET, HEAD, OPTIONS, POST, PUT");
context.Response.AddHeader("Access-Control-Allow-Headers", "Access-Control-Allow-Headers, Origin,Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers");
base.OnActionExecuting(filterContext);
}
}上面代码就是截获每次 Action 请求,手动向请求上下文中增加相应头的配置,以达到 CORS 的目的,Action 配置:
[AllowCors("a.sample.com", "c.sample.com")]
public ActionResult Index()
{
return View();
}而在 ASP.NET WebAPI 项目中配置 CORS,就不需要上面那么复杂了,我们只需要安装:
Install-Package Microsoft.AspNet.WebApi.Cors然后配置启用 CORS:
public static class WebApiConfig
{
public static void Register(HttpConfiguration config)
{
config.EnableCors();
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
}
}最后在对应的 Action 上面添加 CORS 配置就行了:
[EnableCors(origins: "http://a.sample.com", headers: "*", methods: "get,post", SupportsCredentials = true)]
public ActionResult Index()
{
return View();
}在 ASP.NET Core 的 CORS 配置和上面差不多,配置方法:
ConfigureServices 中添加配置:
public void ConfigureServices(IServiceCollection services)
{
// Add framework services.
services.AddMvc();
services.AddCors(options => options.AddPolicy("CorsSample",
p => p.WithOrigins("http://a.example.com", "http://c.example.com").AllowAnyMethod().AllowAnyHeader()));
}Configure 中启用配置:
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
app.UseStaticFiles();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
app.UseCors("CorsSample");
}Action 启用对应的 CORS,不启用使用[DisableCors]。
[EnableCors("CorsSample")]
public ActionResult Index()
{
return View();
}当然 CORS 在 ASP.NET Core 的使用不仅于此,你也可以进行自定义,具体查看最后的参考资料。
跨域除了 CORS,还有其它的解决方式:
<script>标记来从另一个域中返回数据,所以只支持 GET 请求,但使用比较简单,资料:ASP.NET Web API 配置 JSONPdocument.domain = ‘sample.com’;,设置完之后,同域之间就可以 JS 互相访问了,但存在一些隐患,比如一个站点被 JS 注入了,那么就会牵扯到其它站点,资料:ASP.NET 页面禁止被 iframe 框架引用参考资料:
参考页面:http://qingqingquege.cnblogs.com/p/5933752.html
标签:jsonp com 程序 需要 sem 就会 set config lang
原文地址:http://www.cnblogs.com/wuzhezhe/p/6430539.html
