ASP.NETCore-中间件Middleware（三）_CORS跨域请求_Net7

一、序言

  浏览器安全性可防止网页向不处理网页的域发送请求。 此限制称为同域策略。 同域策略可防止恶意站点从另一站点读取敏感数据。有时，你可能希望允许其他网站向自己的应用发出跨源请求。 这是就需要使用跨域请求。更多跨域请求方式见：Web跨域学习笔记

1、跨源资源共享 (CORS)：

• 是一种 W3C 标准，允许服务器放宽同源策略。
• 不是安全功能，CORS 放松了安全限制。 允许 CORS 并不会使 API 更安全。 有关详细信息，请参阅 CORS 的工作原理。
• 允许服务器显式允许某些跨源请求，同时拒绝其他请求。
• 比早期技术（如 JSONP）更安全、更灵活。

2、CORS的知识：

  Mozilla CORS 文章

二、NetCoreCORS跨域中间件

1、使用CORS 跨域中间件

using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Configuration;
using Microsoft.OpenApi.Models;
using System;

namespace fly_chat1_net7
{
    public class Program
    {
        public static void Main(string[] args)
        {
            var builder = WebApplication.CreateBuilder(args);

            #region 容器Services
            builder.Services.AddControllers();            // 添加Controller
            builder.Services.AddHttpContextAccessor();    // 操作Http上下文；比如：AOP里面可以获取IOC对象
            builder.Services.AddEndpointsApiExplorer();   // ASP.NET Core自身提供；Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle

            ...
            builder.Services.AddCors(options =>  // 配置Cors跨域
            {
                options.AddPolicy(name: "MyPolicy",
                    policy =>
                    {
                        policy.WithOrigins("https://yunyistars.com/", "http://yunyistars.com/",  // 约束域名;.WithOrigins("")；一般不会允许所有域都可访问后台（AllowAnyOrigin()）
                            "https://*.yunyistars.com/", "http://*.yunyistars.com/")
                            .SetIsOriginAllowedToAllowWildcardSubdomains()                       // 约束域名-匹配一个配置的带通配符的域名
                            .AllowAnyHeader()                                                    // 约束HTTP请求头-允许所有请求头；.WithHeaders("Content-Language","Content-Type");
                            .AllowAnyMethod()                                                    // 约束HTTP方法-允许所有方法；.WithMethods("PUT", "DELETE", "GET","POST")
                            .AllowCredentials();  // 允许浏览器在跨域请求中发送证书
                    });
            });
            #endregion 容器Services

            var app = builder.Build();
            app.UseHttpLogging();
            ...
            app.UseCors("MyPolicy");  // 使用Cors跨域
            ...
            app.UseAuthorization();
            app.MapControllers();
            app.Run();
        }
    }
}

2、设置CORS 策略选项

• 设置允许的源
• 设置允许的 HTTP 方法
• 设置允许的请求头
• 设置公开的响应头
• 跨源请求中的凭据
• 设置预检过期时间

3、注意点

（1）UseCors一般在UseStaticFiles(静态文件)之后被调用；

（2）UseCors在UseOutputCaching(输出缓存)、UseResponseCaching(响应缓存)之前被调用。