• 基于.Net Framework 4.0 Web API开发(5):ASP.NET Web APIs AJAX 跨域请求解决办法(CORS实现)


    概述: 

      ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作。但是在使用API的时候总会遇到跨域请求的问题,
    特别各种APP万花齐放的今天,API的跨域请求是不能避免的。

      在默认情况下,为了防止CSRF跨站的伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页从另外一个域获取数据时就会收到限制。有一些方法可以突破这个限制,那就是大家熟知的JSONP,
    当然这只是众多解决方法中一种,由于JSONP只支持GET的请求,如今的复杂业务中已经不能满足需求。而CORS(Cross Origin Resource Sharing https://www.w3.org/wiki/CORS)跨域资源共享,是一种新的header规范,
    可以让服务器端放松跨域的限制,可以根据header来切换限制或者不限制跨域请求。重要的是它支持所有http请求方式。

    问题:

       XMLHttpRequest 跨域 POST或GET请求 ,请求方式会自动变成OPTIONS的问题。
      由于CORS(cross origin resource share)规范的存在,浏览器会首先发送一次options嗅探,同时header带上origin,判断是否有跨域请求权限,服务器响应access control allow origin的值,
    供浏览器与origin匹配,如果匹配则正式发送post请求,即便是服务器允许程序跨域访问,若不支持 options 请求,请求也会死掉。

    原因:

      浏览器为了安全起见,会Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法,以及不同类型的主题内容,也就是会先发送一个 options 请求,
    问问服务器是否会正确(允许)请求,确保请求发送是安全的。

      出现 OPTIONS 的情况一般为:
        1、非GET 、POST请求
        2、POST请求的content-type不是常规的三个:application/x- www-form-urlencoded(使用 HTTP 的 POST 方法提交的表单)、multipart/form-data(同上,但主要用于表单提交时伴随文件上传的场合)、text/plain(纯文本) 
        3、POST请求的payload为text/html 
        4、设置自定义头部

        OPTIONS请求头部中会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers,发送这个请求后,服务器可以设置如下头部与浏览器沟通来判断是否允许这个请求。
        Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers

    解决方法:

    方法一:

      此方法功能强大,可以解决ASP.NET Web API复杂跨域请求,携带复杂头部信息,正文内容和授权验证信息

     1     public class CrosHandler : DelegatingHandler
     2     {
     3         private const string _origin = "Origin";
     4         private const string _accessControlRequestMethod = "Access-Control-Request-Method";
     5         private const string _accessControlRequestHeaders = "Access-Control-Request-Headers";
     6         private const string _accessControlAllowOrigin = "Access-Control-Allow-Origin";
     7         private const string _accessControlAllowMethods = "Access-Control-Allow-Methods";
     8         private const string _accessControlAllowHeaders = "Access-Control-Allow-Headers";
     9 
    10         protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
    11         {
    12             bool isCrosRequest = request.Headers.Contains(_origin);
    13             bool isPreflightRequest = request.Method == HttpMethod.Options;
    14             if (isCrosRequest)
    15             {
    16                 Task<HttpResponseMessage> taskResult = null;
    17                 if (isPreflightRequest)
    18                 {
    19                     taskResult = Task.Factory.StartNew<HttpResponseMessage>(() =>
    20                     {
    21                         HttpResponseMessage response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);
    22                         response.Headers.Add(_accessControlAllowOrigin, request.Headers.GetValues(_origin).FirstOrDefault());
    23                         string method = request.Headers.GetValues(_accessControlRequestMethod).FirstOrDefault();
    24                         if (method != null)
    25                         {
    26                             response.Headers.Add(_accessControlAllowMethods, method);
    27                         }
    28                         string headers = string.Join(", ", request.Headers.GetValues(_accessControlRequestHeaders));
    29                         if (!string.IsNullOrEmpty(headers))
    30                         {
    31                             response.Headers.Add(_accessControlAllowHeaders, headers);
    32                         }
    33                         return response;
    34                     }, cancellationToken);
    35                 }
    36                 else
    37                 {
    38                     taskResult = base.SendAsync(request, cancellationToken)
    39                         .ContinueWith<HttpResponseMessage>(t =>
    40                         {
    41                             var response = t.Result;
    42                             response.Headers.Add(_accessControlAllowOrigin, request.Headers.GetValues(_origin).FirstOrDefault());
    43                             return response;
    44                         });
    45                 }
    46                 return taskResult;
    47                 //return base.SendAsync(request, cancellationToken);
    48             }
    49             else
    50             {
    51                 return base.SendAsync(request, cancellationToken);
    52             }
    53         }
    54     }
    View Code
     1      protected void Application_Start()
     2         {
     3             IOCConfig.RegisterAll();
     4 
     5             AreaRegistration.RegisterAllAreas();
     6 
     7             WebApiConfig.Register(GlobalConfiguration.Configuration);
     8             FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
     9             RouteConfig.RegisterRoutes(RouteTable.Routes);
    10             BundleConfig.RegisterBundles(BundleTable.Bundles);
    11 
    12             GlobalConfiguration.Configuration.MessageHandlers.Add(new CrosHandler());
    13         }
    View Code

    方法二:

      配置文件中添加如下配置,此方法简单,应对简单的跨域请求

    1 <system.webServer>
    2     <httpProtocol>
    3       <customHeaders>
    4         <add name="Access-Control-Allow-Origin" value="*" />
    5         <add name="Access-Control-Allow-Headers" value="Content-Type" />
    6         <add name="Access-Control-Allow-Methods" value="GET, POST,OPTIONS" />
    7       </customHeaders>
    8     </httpProtocol>
    9 <system.webServer>

    参考文献:

      https://code.msdn.microsoft.com/windowsdesktop/Implementing-CORS-support-a677ab5d#content

  • 相关阅读:
    Python异常处理
    Python序列化中json模块和pickle模块
    Python常用模块random/time/sys/os模块
    软件测试--读书笔记
    团队作业——系统设计和任务分配
    结对项目之需求分析与原型设计
    生成小学计算题(升级版)
    生成小学计算题
    软件工程基础
    第一个微信小项目
  • 原文地址:https://www.cnblogs.com/niuww/p/5569504.html
Copyright © 2020-2023  润新知