Настройка Access-Control-Allow-Origin в ASP.Net MVC - простейший возможный метод
У меня есть простой метод action, который возвращает некоторый json. Он работает на ajax.example.com. Мне нужно получить доступ к этому с другого сайта someothersite.com.
Если я попытаюсь вызвать его, я получу ожидаемое...:
Origin http://someothersite.com is not allowed by Access-Control-Allow-Origin.
Я знаю два способа обойти это: JSONP и создать пользовательский HttpHandler to
установите заголовок.
Нет ли более простого способа?
Невозможно ли для простого действия определить список разрешенных источников - или просто разрешить всех? Может быть, фильтр действий?
Оптимальным было бы...:
return json(mydata, JsonBehaviour.IDontCareWhoAccessesMe);
Ответы
Ответ 1
Для простых ASP.NET MVC-контроллеров
Создайте новый атрибут
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
filterContext.RequestContext.HttpContext.Response.AddHeader("Access-Control-Allow-Origin", "*");
base.OnActionExecuting(filterContext);
}
}
Отметьте свое действие:
[AllowCrossSiteJson]
public ActionResult YourMethod()
{
return Json("Works better?");
}
Для веб-API ASP.NET
using System;
using System.Web.Http.Filters;
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)
{
if (actionExecutedContext.Response != null)
actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
base.OnActionExecuted(actionExecutedContext);
}
}
Пометьте весь контроллер API:
[AllowCrossSiteJson]
public class ValuesController : ApiController
{
Или отдельные вызовы API:
[AllowCrossSiteJson]
public IEnumerable<PartViewModel> Get()
{
...
}
Для Internet Explorer <= v9
IE <= 9 не поддерживает CORS. Я написал javascript, который автоматически направит эти запросы через прокси. Все это на 100% прозрачно (вы просто должны включить мой прокси-сервер и script).
Загрузите его с помощью nuget corsproxy и следуйте прилагаемым инструкциям.
Сообщение в блоге | Исходный код
Ответ 2
Если вы используете IIS 7+, вы можете поместить файл web.config в корень папки с этим в разделе system.webServer:
<httpProtocol>
<customHeaders>
<clear />
<add name="Access-Control-Allow-Origin" value="*" />
</customHeaders>
</httpProtocol>
Смотрите: http://msdn.microsoft.com/en-us/library/ms178685.aspx
И: http://enable-cors.org/#how-iis7
Ответ 3
Я столкнулся с проблемой, когда браузер отказался обслуживать контент, который он получил, когда запрос передан в файлах cookie (например, xhr имел свой withCredentials=true), а на сайте было Access-Control-Allow-Origin установлено значение *, (Ошибка в Chrome: "Нельзя использовать подстановочный знак в Access-Control-Allow-Origin, когда флаг учетных данных является истинным." )
Основываясь на ответе от @jgauffin, я создал это, что в основном является способом обойти эту конкретную проверку безопасности браузера, поэтому caveat emptor.
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
// We'd normally just use "*" for the allow-origin header,
// but Chrome (and perhaps others) won't allow you to use authentication if
// the header is set to "*".
// TODO: Check elsewhere to see if the origin is actually on the list of trusted domains.
var ctx = filterContext.RequestContext.HttpContext;
var origin = ctx.Request.Headers["Origin"];
var allowOrigin = !string.IsNullOrWhiteSpace(origin) ? origin : "*";
ctx.Response.AddHeader("Access-Control-Allow-Origin", allowOrigin);
ctx.Response.AddHeader("Access-Control-Allow-Headers", "*");
ctx.Response.AddHeader("Access-Control-Allow-Credentials", "true");
base.OnActionExecuting(filterContext);
}
}
Ответ 4
Это действительно просто, просто добавьте это в web.config
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="http://localhost" />
<add name="Access-Control-Allow-Headers" value="X-AspNet-Version,X-Powered-By,Date,Server,Accept,Accept-Encoding,Accept-Language,Cache-Control,Connection,Content-Length,Content-Type,Host,Origin,Pragma,Referer,User-Agent" />
<add name="Access-Control-Allow-Methods" value="GET, PUT, POST, DELETE, OPTIONS" />
<add name="Access-Control-Max-Age" value="1000" />
</customHeaders>
</httpProtocol>
</system.webServer>
В Origin помещаются все домены, которые имеют доступ к вашему веб-серверу,
в заголовках помещаются все возможные заголовки, которые может использовать любой запрос ajax http,
в методах ставят все методы, которые вы разрешаете на своем сервере
приветствует:)
Ответ 5
Иногда аргумент OPTIONS также вызывает проблемы
Просто:
Обновите файл web.config с помощью следующих
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*" />
<add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
</customHeaders>
</httpProtocol>
</system.webServer>
И обновите заголовки webservice/controller с помощью httpGet и httpOptions
// GET api/Master/Sync/?version=12121
[HttpGet][HttpOptions]
public dynamic Sync(string version)
{
Ответ 6
WebAPI 2 теперь имеет пакет для CORS, который можно установить с помощью:
Install-Package Microsoft.AspNet.WebApi.Cors -pre -project WebServic
Как только это будет установлено, выполните следующие действия для кода: http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api
Ответ 7
Этот учебник очень полезен. Чтобы дать краткое описание:
-
Используйте пакет CORS, доступный в Nuget: Install-Package Microsoft.AspNet.WebApi.Cors
-
В вашем WebApiConfig.cs файле добавьте config.EnableCors() к методу Register().
-
Добавьте атрибут к контроллерам, которым необходимо обработать cors:
[EnableCors(origins: "<origin address in here>", headers: "*", methods: "*")]
Ответ 8
Добавьте эту строку в свой метод, если вы используете API.
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "*");
Ответ 9
public ActionResult ActionName(string ReqParam1, string ReqParam2, string ReqParam3, string ReqParam4)
{
this.ControllerContext.HttpContext.Response.Headers.Add("Access-Control-Allow-Origin","*");
/*
--Your code goes here --
*/
return Json(new { ReturnData= "Data to be returned", Success=true }, JsonRequestBehavior.AllowGet);
}
Ответ 10
Мы можем передать заголовки Access-Control-Expose-Headers разными способами.
- Как объяснил jgauffin, мы можем создать новый атрибут.
- Как пояснил LaundroMatt, мы можем добавить файл web.config.
-
Другой способ - мы можем добавить код, как показано ниже в файле webApiconfig.cs.
config.EnableCors(new EnableCorsAttribute ("", headers: "", методы: "*" ,posedHeaders: "TestHeaderToExpose") {SupportsCredentials = true});
Или мы можем добавить приведенный ниже код в файл Global.Asax.
protected void Application_BeginRequest()
{
if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
{
//These headers are handling the "pre-flight" OPTIONS call sent by the browser
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "*");
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Credentials", "true");
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "http://localhost:4200");
HttpContext.Current.Response.AddHeader("Access-Control-Expose-Headers", "TestHeaderToExpose");
HttpContext.Current.Response.End();
}
}
Я написал это для вариантов. Пожалуйста, измените так же, как вам нужно.
Удачного кодирования!
Ответ 11
В Web.config введите следующее
<system.webServer>
<httpProtocol>
<customHeaders>
<clear />
<add name="Access-Control-Allow-Credentials" value="true" />
<add name="Access-Control-Allow-Origin" value="http://localhost:123456(etc)" />
</customHeaders>
</httpProtocol>
Ответ 12
Если вы используете IIS, я бы предложил попробовать модуль IIS CORS.
Это легко настроить и работает для всех типов контроллеров.
Вот пример конфигурации:
<system.webServer>
<cors enabled="true" failUnlistedOrigins="true">
<add origin="*" />
<add origin="https://*.microsoft.com"
allowCredentials="true"
maxAge="120">
<allowHeaders allowAllRequestedHeaders="true">
<add header="header1" />
<add header="header2" />
</allowHeaders>
<allowMethods>
<add method="DELETE" />
</allowMethods>
<exposeHeaders>
<add header="header1" />
<add header="header2" />
</exposeHeaders>
</add>
<add origin="http://*" allowed="false" />
</cors>
</system.webServer>
Ответ 13
После целого вечера борьбы я наконец получил это на работу. После некоторой отладки я обнаружил, что проблема, с которой я сталкивался, заключалась в том, что мой клиент отправлял так называемый запрос параметров предварительной проверки, чтобы проверить, разрешено ли приложению отправлять запрос по почте с указанием источника, методов и заголовков. Я не хотел использовать Owin или APIController, поэтому я начал копать и нашел следующее решение с помощью только ActionFilterAttribute. Особенно важна часть "Access-Control-Allow-Headers", поскольку упомянутые там заголовки должны совпадать с заголовками, которые отправит ваш запрос.
using System.Linq;
using System.Web;
using System.Web.Mvc;
namespace MyNamespace
{
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
HttpRequest request = HttpContext.Current.Request;
HttpResponse response = HttpContext.Current.Response;
// check for preflight request
if (request.Headers.AllKeys.Contains("Origin") && request.HttpMethod == "OPTIONS")
{
response.AppendHeader("Access-Control-Allow-Origin", "*");
response.AppendHeader("Access-Control-Allow-Credentials", "true");
response.AppendHeader("Access-Control-Allow-Methods", "GET, PUT, POST, DELETE");
response.AppendHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, X-RequestDigest, Cache-Control, Content-Type, Accept, Access-Control-Allow-Origin, Session, odata-version");
response.End();
}
else
{
HttpContext.Current.Response.Cache.SetCacheability(HttpCacheability.NoCache);
HttpContext.Current.Response.Cache.SetNoStore();
response.AppendHeader("Access-Control-Allow-Origin", "*");
response.AppendHeader("Access-Control-Allow-Credentials", "true");
if (request.HttpMethod == "POST")
{
response.AppendHeader("Access-Control-Allow-Methods", "GET, PUT, POST, DELETE");
response.AppendHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, X-RequestDigest, Cache-Control, Content-Type, Accept, Access-Control-Allow-Origin, Session, odata-version");
}
base.OnActionExecuting(filterContext);
}
}
}
}
Наконец, мой метод действия MVC выглядит следующим образом. Здесь важно также упомянуть параметры HttpVerbs, поскольку в противном случае предварительный запрос не будет выполнен.
[AcceptVerbs(HttpVerbs.Post | HttpVerbs.Options)]
[AllowCrossSiteJson]
public async Task<ActionResult> Create(MyModel model)
{
return Json(await DoSomething(model));
}
