描述
浏览器安全策略上的安全限制可以有效阻止Ajax向另外的一个域server发起请求,这就是著名的同源策略,如何突破这种限制,可以使用CORS。
public static void AddCommon(this IServiceCollection services){services.AddCors(options =>{options.AddPolicy("AllowAll", p =>{p.AllowAnyOrigin()//允许任务来源的主机访问.AllowAnyMethod()//允许任何请求方式.AllowAnyHeader();//允许任何头部//.AllowCredentials();//允许任何证书 Core3.0之后不允许Origin和Credentials都不做限制});});}
AddCors来添加一个跨域处理方式,AddPolicy就是加个巡逻官,看看符合规则的放进来,不符合的直接赶出去。
| 方法 | 介绍 |
|---|---|
| AllowAnyOrigin | 允许所有的域名请求 |
| AllowAnyMethod | 允许所有的请求方式GET/POST/PUT/DELETE |
| AllowAnyHeader | 允许所有的头部参数 |
| AllowCredentials | 允许携带Cookie |
这里我使用的是允许所有,可以根据自身业务需要来调整,比如只允许部分域名访问,部分请求方式,部分Header:
services.AddCors(options =>{options.AddPolicy("AllowSome", p =>{p.WithOrigins("https://www.baidu.com").WithMethods("GET", "POST").WithHeaders(HeaderNames.ContentType, "x-custom-header");});});
允许跨域
在Configure中声明全局跨域
public void Configure(IApplicationBuilder app, IHostingEnvironment env){app.UseCors("AllowAll"); app.UseHttpsRedirection();app.UseMvc(); }
只对面某一些控制器进行跨域
[EnableCors("AllowSome")]
只对某一些方法进行跨域
[EnableCors("AllowSome")]
对某个Action限制跨域
[DisableCors]
