快捷導(dǎo)航

.NET Core API CORS的實(shí)現(xiàn)

更新時(shí)間：2018年08月07日 09:43:19 作者：Beck''s Blog

這篇文章主要介紹了.NET Core API CORS的實(shí)現(xiàn)，小編覺(jué)得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

最近參與一個(gè)前后端分離的項(xiàng)目，后端基于 .NET Core 2.1 開(kāi)發(fā)，在進(jìn)行前后端對(duì)接的過(guò)程中，被跨域問(wèn)題折騰得有點(diǎn)脾氣了，這里把經(jīng)驗(yàn)和大家分享一下。

GET/POST 請(qǐng)求

在服務(wù)端不做任何調(diào)整的情況下，前端發(fā)起 AJAX 請(qǐng)求，如：

$.ajax({
	type: 'get',
	url: 'http://localhost:5000',
	success: function (result) {
		$('#result').html(result);
	}
});

200 ?。?！好像很正常的樣子，看似沒(méi)毛病。但會(huì)發(fā)現(xiàn) Response 內(nèi)屁都沒(méi)有，然后回到瀏覽器 Console 查看會(huì)有一個(gè)錯(cuò)誤信息，提示不支持跨域訪問(wèn)，涼涼。

JSONP

在遇到跨域問(wèn)題時(shí)很容易想到 JSONP 的解決方式，但也只限于 GET 請(qǐng)求，POST 據(jù)說(shuō)比較艱難，我自己也沒(méi)試用，這里就不測(cè)試了。

$.ajax({
	type: 'get',
	url: 'http://localhost:5000/home/jsonpTest',
	data: {
		name: 'beck'
	},
	dataType: "jsonp",
	jsonpCallback: "jsonpCallback",
	success: function (result) {
		$('#result').html(result.Data);
	}
});

那么現(xiàn)在問(wèn)題來(lái)了，JSONP 和 GET 請(qǐng)求畢竟有自身的一些限制，如果非要 POST 怎么辦？那就選擇 CORS 吧！

CORS

CORS (Cross-Origin Resource Sharing，跨源資源共享) 是W3C出的一個(gè)標(biāo)準(zhǔn)，其思想是使用自定義的 HTTP 頭部讓瀏覽器與服務(wù)器進(jìn)行溝通，從而決定請(qǐng)求或響應(yīng)是應(yīng)該成功，還是應(yīng)該失敗。CORS 與 JSONP 都可以做到跨源資源共享，但與 JSONP 不同，CORS 可以支持除 GET 方式以外所有類型的 HTTP 請(qǐng)求。

在介紹實(shí)現(xiàn)方式之前先簡(jiǎn)單了解部分 CORS 相關(guān)的理論，不然可能對(duì)遇到的問(wèn)題會(huì)有點(diǎn)懵，特別其中的 OPTIONS 請(qǐng)求，明明設(shè)置的是 GET、POST 方式，怎么就多出一個(gè) OPTIONS 請(qǐng)求？

CORS 請(qǐng)求分簡(jiǎn)單請(qǐng)求和復(fù)雜請(qǐng)求：

簡(jiǎn)單請(qǐng)求

同時(shí)滿足以下條件的歸類為簡(jiǎn)單請(qǐng)求：

請(qǐng)求方式是 HEAD 、GET、POST中的一種；
HTTP的頭信息不超出 Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type 字段；
Content-Type 只限于 application/x-www-form-urlencoded、multipart/form-data、text/plain 三個(gè)之一；

簡(jiǎn)單請(qǐng)求只需要服務(wù)端設(shè)置 Access-Control-Allow-Origin 允許請(qǐng)求來(lái)源地址即可，我們可以在 .NET Core API 項(xiàng)目的 Startup.cs 中進(jìn)行如下調(diào)整：

public void ConfigureServices(IServiceCollection services)
{
	// 添加支持跨域請(qǐng)求
	services.AddCors(); 
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
	// 設(shè)置允許的請(qǐng)求來(lái)源，我本地請(qǐng)求發(fā)起方所在地址是 http://localhost:53894 
	app.UseCors(options => options.WithOrigins("http://localhost:53894")); 
}

前端發(fā)起 GET 或 POST 請(qǐng)求：

$.ajax({
	type: 'post',
	url: 'http://localhost:5000/home/fromFormTest',
	data: {
		name: 'beck'
	},
	success: function (result) {
		$('#result').html(result.data);
	}
});

復(fù)雜請(qǐng)求

不滿足簡(jiǎn)單請(qǐng)求條件的統(tǒng)一歸類為復(fù)雜請(qǐng)求，復(fù)雜請(qǐng)求會(huì)在正式通信之前增加一次 OPTIONS 請(qǐng)求，稱為 “預(yù)檢” 請(qǐng)求，通過(guò)預(yù)檢請(qǐng)求中的返回頭信息，判斷當(dāng)前請(qǐng)求是否被允許。

我們可以設(shè)置 contentType 為 application/json，此請(qǐng)求就變成了復(fù)雜請(qǐng)求：

$.ajax({
	type: 'post',
	url: 'http://localhost:5000/home/fromBodyTest',
	contentType: 'application/json',
	data: JSON.stringify({
		name: 'beck'
	}),
	success: function (result) {
		$('#result').html(result.data);
	}
});

如果 API 項(xiàng)目中的 Startup.cs 保持上面的調(diào)整后不變，會(huì)看到 OPTIONS 請(qǐng)求中Response Headers 信息并沒(méi)有出現(xiàn)允許請(qǐng)求的源地址 Access-Control-Allow-Origin ，這就代表預(yù)檢失敗了，繼續(xù)涼涼。

這是因?yàn)樵陬A(yù)檢請(qǐng)求的返回頭中還必須要設(shè)置 Access-Control-Request-Method 和 Access-Control-Request-Headers。app.UseCors 是支持設(shè)置某些頭信息或者某些請(qǐng)求類型，這些在使用時(shí)看實(shí)際情況而定。

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
	// 設(shè)置允許的請(qǐng)求來(lái)源地址、頭信息、請(qǐng)求類型
	app.UseCors(options => options
		.WithOrigins("http://localhost:53894")
		.AllowAnyHeader()
		.AllowAnyMethod()
	);
}

預(yù)檢通過(guò)之后，會(huì)發(fā)起 POST 請(qǐng)求：

Cookie

如果請(qǐng)求需要攜帶 Cookie 到服務(wù)端，那還需要稍微做一些調(diào)整，如下：

Startup.cs 增加 AllowCredentials 配置：

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
	// 設(shè)置允許的請(qǐng)求來(lái)源地址、頭信息、請(qǐng)求類型、Cookie
	app.UseCors(options => options
		.WithOrigins("http://localhost:53894")
		.AllowAnyHeader()
		.AllowAnyMethod()
		.AllowCredentials()
	);
}

AJAX 請(qǐng)求中也需要增加 withCredentials 設(shè)置：

setCookie('name', 'test');
$.ajax({
	type: 'post',
	url: 'http://localhost:5000/home/fromBodyTest',
	contentType: 'application/json',
	data: JSON.stringify({
		name: 'beck'
	}),
	xhrFields: {
		withCredentials: true
	},
	success: function (result) {
		$('#result').html(result.data);
	}
});

通過(guò)以上代碼簡(jiǎn)單的修改，就實(shí)現(xiàn)了 CORS 。在實(shí)際的內(nèi)網(wǎng)或生產(chǎn)環(huán)境，可能會(huì)從運(yùn)維層面通過(guò) Nginx 或者其他的設(shè)置做到不修改代碼也能完美支持。

參考資料

ASP.NET Core CORS

CORSSample

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: