描述

浏览器安全策略上的安全限制可以有效阻止Ajax向另外的一个域server发起请求，这就是著名的同源策略，如何突破这种限制，可以使用CORS。

public static void AddCommon(this IServiceCollection services){services.AddCors(options =>{options.AddPolicy("AllowAll", p =>{p.AllowAnyOrigin()//允许任务来源的主机访问.AllowAnyMethod()//允许任何请求方式.AllowAnyHeader();//允许任何头部//.AllowCredentials();//允许任何证书     Core3.0之后不允许Origin和Credentials都不做限制});});}

AddCors来添加一个跨域处理方式，AddPolicy就是加个巡逻官，看看符合规则的放进来，不符合的直接赶出去。

方法	介绍
AllowAnyOrigin	允许所有的域名请求
AllowAnyMethod	允许所有的请求方式GET/POST/PUT/DELETE
AllowAnyHeader	允许所有的头部参数
AllowCredentials	允许携带Cookie

这里我使用的是允许所有，可以根据自身业务需要来调整，比如只允许部分域名访问，部分请求方式，部分Header：

services.AddCors(options =>{options.AddPolicy("AllowSome", p =>{p.WithOrigins("https://www.baidu.com").WithMethods("GET", "POST").WithHeaders(HeaderNames.ContentType, "x-custom-header");});});

允许跨域

在Configure中声明全局跨域

public void Configure(IApplicationBuilder app, IHostingEnvironment env){app.UseCors("AllowAll"); app.UseHttpsRedirection();app.UseMvc();      }

只对面某一些控制器进行跨域

[EnableCors("AllowSome")]

只对某一些方法进行跨域

[EnableCors("AllowSome")]

对某个Action限制跨域

[DisableCors]