ASP.NETCore-中间件Middleware(三)_CORS跨域请求_Net7
一、序言
浏览器安全性可防止网页向不处理网页的域发送请求。 此限制称为同域策略。 同域策略可防止恶意站点从另一站点读取敏感数据。有时,你可能希望允许其他网站向自己的应用发出跨源请求。 这是就需要使用跨域请求。更多跨域请求方式见:Web跨域学习笔记
1、跨源资源共享 (CORS):
- 是一种 W3C 标准,允许服务器放宽同源策略。
- 不是安全功能,CORS 放松了安全限制。 允许 CORS 并不会使 API 更安全。 有关详细信息,请参阅 CORS 的工作原理。
- 允许服务器显式允许某些跨源请求,同时拒绝其他请求。
- 比早期技术(如 JSONP)更安全、更灵活。
2、CORS的知识:
二、NetCoreCORS跨域中间件
1、使用CORS 跨域中间件
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Configuration;
using Microsoft.OpenApi.Models;
using System;
namespace fly_chat1_net7
{
public class Program
{
public static void Main(string[] args)
{
var builder = WebApplication.CreateBuilder(args);
#region 容器Services
builder.Services.AddControllers(); // 添加Controller
builder.Services.AddHttpContextAccessor(); // 操作Http上下文;比如:AOP里面可以获取IOC对象
builder.Services.AddEndpointsApiExplorer(); // ASP.NET Core自身提供;Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
...
builder.Services.AddCors(options => // 配置Cors跨域
{
options.AddPolicy(name: "MyPolicy",
policy =>
{
policy.WithOrigins("https://yunyistars.com/", "http://yunyistars.com/", // 约束域名;.WithOrigins("");一般不会允许所有域都可访问后台(AllowAnyOrigin())
"https://*.yunyistars.com/", "http://*.yunyistars.com/")
.SetIsOriginAllowedToAllowWildcardSubdomains() // 约束域名-匹配一个配置的带通配符的域名
.AllowAnyHeader() // 约束HTTP请求头-允许所有请求头;.WithHeaders("Content-Language","Content-Type");
.AllowAnyMethod() // 约束HTTP方法-允许所有方法;.WithMethods("PUT", "DELETE", "GET","POST")
.AllowCredentials(); // 允许浏览器在跨域请求中发送证书
});
});
#endregion 容器Services
var app = builder.Build();
app.UseHttpLogging();
...
app.UseCors("MyPolicy"); // 使用Cors跨域
...
app.UseAuthorization();
app.MapControllers();
app.Run();
}
}
}2、设置CORS 策略选项
3、注意点
(1)UseCors一般在UseStaticFiles(静态文件)之后被调用;
(2)UseCors在UseOutputCaching(输出缓存)、UseResponseCaching(响应缓存)之前被调用。
本文来自博客园,作者:꧁执笔小白꧂,转载请注明原文链接:https://www.cnblogs.com/qq2806933146xiaobai/articles/17449027.html
浙公网安备 33010602011771号