Fork me on GitHub

跨域问题产生的原因

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能。现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。由于同源策略的限制,JavaScript就产生了跨域的问题。

在WebApi2中的解决方法

1. 在nuget中添加cors

cors解释链接地址:http://www.ruanyifeng.com/blog/2016/04/cors.html

2. 在文件WebApiConfig.cs中配置跨域设置  

//简写  
//var cors = new EnableCorsAttribute("*", "*", "*");  
//config.EnableCors(cors);  
//要写http://10.116.56.69:90  

var allowOrigins = ConfigurationManager.AppSettings["cors_allowOrigins"];
var allowHeaders = ConfigurationManager.AppSettings["cors_allowHeaders"];
var allowMethods = ConfigurationManager.AppSettings["cors_allowMethods"];
var globalCors = new EnableCorsAttribute(allowOrigins, allowHeaders, allowMethods);
globalCors.SupportsCredentials = true; //跨域cookie的解决与【4】withCredentials结合使用
config.EnableCors(globalCors);

3. 前端提交ajax请求,用的类型是application/json

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight),ptions请求。

请避免用"预检"请求(preflight)

原因:预检每次会发送两个请求浪费资源,预检都是复杂操作,预检修改HTTP的头信息,使头部信息复杂

避免预请求请确保一下1.请求方法是以下三种方法之一:
HEAD
GET
POST
2.HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

<add key="cors_allowOrigins" value="http://localhost:49632,http://127.0.0.1:49632" />
<add key="cors_allowHeaders" value="X-Requested-With,Content-Type" />
<add key="cors_allowMethods" value="PUT, GET, POST, DELETE, OPTIONS" />
    
<system.webServer>
     <handlers> <!--此处处理options请求。或去iis里面删除、添加上动作添加上OPTIONS-->
      <remove name="OPTIONSVerbHandler" />
      <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
      <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
    </handlers>
</system.webServer>

4. 跨域cookie的问题

默认cookie不会传递到后台,所以这里要传递过去。

$.ajax({
    type: "post",
    contentType: 'application/json',
    url: "http://localhost:49632/Controller/test",
    xhrFields: {
        withCredentials: true
    },
    data: JSON.stringify({ Data: param}),
    success: function (data) {
        alert(data.msg);
    }
});

5. 解决IE8,IE9的问题  

请求获得不到参数的问题,web api会对请求的参数序列化。

在Global.asax中添加GlobalConfiguration.Configuration.MessageHandlers.Add(new CrossDomainFixIEHandler());  

public class CrossDomainFixIEHandler : DelegatingHandler
{
    protected override System.Threading.Tasks.Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
    {
        if (request.Method == HttpMethod.Options)
        {
            HttpResponseMessage response = request.CreateResponse<string>(HttpStatusCode.OK, null);
            TaskCompletionSource<HttpResponseMessage> tcs = new TaskCompletionSource<HttpResponseMessage>();
            tcs.SetResult(response);
            return tcs.Task;
        }
        if (request.Content.Headers.ContentType != null && request.Content.Headers.ContentType.MediaType== "application/x-www-form-urlencoded")
        {
            string contentType = "application/json";
            request.Content.Headers.ContentType = new System.Net.Http.Headers.MediaTypeHeaderValue(contentType);
        }
        return base.SendAsync(request, cancellationToken);
    }
}

 

posted on 2018-06-27 09:27  lingfeng95  阅读(317)  评论(0编辑  收藏  举报