ASP.NET Core – CORS (Cross-Origin Resource Sharing)
参考
Docs – Enable Cross-Origin Requests (CORS) in ASP.NET Core
介绍
CORS (Cross-Origin Resource Sharing) 讲的是游览器对跨域服务端发起 HTTP request (Ajax),被游览器禁止读取。
Chrome DevTools 会显示下面这些 error.
早年的解决方法是用 JSONP (用 <script> 发请求,服务端配合返回 JavaScript 并且调用一个全局方法,方法名字是通过 request query parameters 得知的,最后把资料传入方法中)。
现今只需要加上一些 response header 就可以了。
怎样算跨域
1. Domain 不一样
abc.com 和 abc.net
2. Sub domain 不一样
abc.com 和 www.abc.com
3. Scheme 不一样
http 和 https
4. Port 不一样
localhost:4200 和 localhost:61547
基本用法: AddCors & UseCors
和其它 ASP.NET Core module 用法差不多. Service.AddCors, App.UseCors
AddCors (for service)
创建 default policy, by pass all origin (这个适合在开发阶段, 下面会讲 production 阶段应该限制多一点, 不可以 by pass all)
builder.Services.AddCors(options => { options.AddDefaultPolicy(policy => { policy.AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader(); }); });
UseCors (for middleware)
app.UseHttpsRedirection(); app.UseCors(); app.UseAuthorization();
位置很重要哦. 如果 JS 会请求 static file 的话, 那还得放到 app.UseStaticFiles 之上.
Policy Configuration
allow header & method
policy.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader();
method 和 header 是 for Preflight request (OPTIONS) 用的. 通常 set any 是 ok 的.
如果 request 有自定义 header,那也需要设置 header。
要限制也是可以
policy.WithMethods("POST", "PUT");
最终会输出
allow origin
origin 最好不要 set any. 很危险. 指定给需要的 origin 就好了.
policy.WithOrigins("https://192.168.1.152:4202");
注意, origin 的结尾不可以有 slash.
allow credentials
如果 request 要携带 cookie 的话需要特别开启
policy.AllowCredentials();
有用 SignalR 的话, 也一定要开启, 参考: Security considerations in ASP.NET Core SignalR
另外 AllowAnyOrigin 和 AllowCredentials 不可以一起使用 (应该是担心安全隐患太大吧)
allow exposed headers
跨域默认只允许 client 访问一些 response header
policy.WithExposedHeaders(“specify-header-name”, "x-custom-header");
通过 WithExposedHeaders 可以配置. 指定某个名字, 或者 by pass all 就用关键字 "x-custom-header"
Policy 管理
上面的例子在管理上是比较简单的. 一个项目一个配置就 ok 了.
但如果遇到比较复杂的项目就需要多一点管理了. 比如多个 Policy. 有些 Controller 允许 CORS 有些不允许.
Multiple Policy
上面我们用的是 AddDefaultPolicy, 这里用的是 AddPolicy 配上 policy name. 可以一直 AddPolicy, 只要确保名字是 unique 就可以了.
builder.Services.AddCors(options => { options.AddPolicy( name: "MyFirstCorsPolicy", configurePolicy: policy => { policy.WithOrigins(new[] { "https://192.168.1.152:4202" }).AllowAnyHeader().AllowAnyMethod().AllowCredentials(); } ); });
[EnableCors] 和 [DisableCors]
可以指定某个 Controller 使用哪一个 CORS Policy, 也可以 disable 某一个 Action
UseCors
不管是 default policy 还是 policy with name, 一定要调用 app.UseCors
app.UseCors();
app.UseCors(), 没有声明 policy name, 表示所有 Controller 使用 default policy (如果有 config default policy 的话, 没有的话 Controller 就得用 attribute 来控制)
app.UseCors("MyFirstCorsPolicy");
with policy name 表示所有 Controller 使用 MyFirstCorsPolicy policy, attribute 可以 override 这个设置.
简而言之就是, 用 attribute 去控制 Controller 和 Action. 用 app.UseCors 做全局控制 (不想全局控制, 就不要 set default policy, 但记得, 无论如何 app.UseCors 依然是需要调用的)
