【.Net技术栈梳理】06-CORS

原创 已于 2025-09-12 22:47:39 修改 · 998 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#.net

于 2025-09-09 14:47:06 首次发布

文章目录

CORS(跨源资源共享)。这是一个在现代 Web 开发中至关重要且常见的概念,尤其对于前后端分离的架构。

1. CORS 是什么?为什么需要它?

1.1 同源策略:安全基石

要理解 CORS,必须先理解它的对立面:同源策略(Same-Origin Policy)。

  • 定义 : 同源策略是浏览器一个至关重要的安全机制。它规定,一个源(Origin)的文档或脚本,默认情况下无法与另一个源的资源进行交互。
  • 何为“同源”?:如果两个 URL 的协议(Protocol)、域名(Host)、端口(Port) 完全相同,则它们属于同源。
    • https://example.com/app1 和 https://example.com/app2 -> 同源(协议、域名、端口相同)
    • https://example.com 和 http://example.com -> 不同源(协议不同, HTTPS vs HTTP)
    • https://example.com 和 https://api.example.com -> 不同源(域名不同)
    • https://example.com:8080 和 https://example.com:443 -> 不同源(端口不同)
  • 为何需要?:没有同源策略将会极其危险。一个恶意网站(evil.com)的脚本可以随意读取你在银行网站(your-bank.com)上的数据、伪造你的身份进行操作等。同源策略将不同网站隔离在了各自的“沙箱”中。

1.2 合法跨源的需求与 CORS 的诞生

然而,合法的跨源需求无处不在:

  • 前端应用(https://myapp.com)需要调用后端 API(https://api.myapp.com)。
  • 使用第三方服务(如 Google Maps API、支付网关)。

为了解决这个矛盾,CORS 应运而生。CORS 是一个 W3C 标准,它允许服务器显式地声明哪些外部源有权访问其资源,从而让浏览器放松同源限制。

核心思想:控制权在服务器手中。浏览器只是规则的执行者。服务器通过设置一系列的 HTTP 响应头来告诉浏览器:“我允许来自某某源的请求访问我。”

2. CORS 的工作原理

CORS 请求分为两类:简单请求预检请求

2.1 简单请求

满足以下所有条件的请求被视为简单请求:

  1. 方法: GET, HEAD, POST

  2. 头部: 仅限以下集合:

    • Accept

    • Accept-Language

    • Content-Language

    • Content-Type (值仅限于 application/x-www-form-urlencoded, multipart/form-data, text/plain)

    • Range (带有特殊限制)

    • DPR, Downlink, Save-Data, Viewport-Width, Width

  3. 没有使用 ReadableStream 对象。

工作流程:

  1. 浏览器照常发出请求(例如,一个 GET 请求),并在请求头中自动添加 Origin,表明请求来自哪个源(如 Origin: https://myapp.com)。

  2. 服务器检查 Origin。如果允许,则在响应头中包含 Access-Control-Allow-Origin,其值可以是允许的源(如 Access-Control-Allow-Origin: https://myapp.com)或通配符 *(允许任何源)。

  3. 浏览器收到响应后,会检查 Access-Control-Allow-Origin 头。如果它包含了当前请求的源,则允许前端 JavaScript 访问响应内容;否则,浏览器会阻止前端代码访问响应,并在控制台抛出 CORS 错误。

CORS

2.2 预检请求

不满足简单请求条件的请求(例如,使用 PUT, DELETE 方法,或 Content-Type: application/json),浏览器会首先使用 OPTIONS 方法发起一个 预检请求

工作流程

  1. 浏览器发现请求不符合简单请求条件,于是先自动发起一个 OPTIONS 请求到目标服务器。这个请求包含:

    • Origin: 请求源
    • Access-Control-Request-Method: 实际请求想要使用的方法(如 PUT)。
    • Access-Control-Request-Headers: 实际请求想要携带的自定义头部(如 X-Custom-Header)。

  2. 服务器响应这个 OPTIONS 请求,通过响应头声明允许的策略:

    • Access-Control-Allow-Origin: 允许的源。
    • Access-Control-Allow-Methods: 允许的 HTTP 方法(如 GET, POST, PUT)。
    • Access-Control-Allow-Headers: 允许的请求头。
    • Access-Control-Max-Age: 告诉浏览器可以将这个预检响应缓存多久,避免频繁发送 OPTIONS。

  3. 浏览器检查预检响应头。如果所有要求都被服务器批准,浏览器才会接着发出真正的实际请求。否则,就在这一步报错,不会发出实际请求。

预检请求

3. 核心的 CORS 响应头

服务器通过以下头部来控制 CORS:

最低0.47元/天 解锁文章
ASP.NET Core:CORS
子昊
11-11 541
跨域是由于请求违反了同源策略导致的。而同源策略是所有浏览器都遵循的一种安全原则。也正是因为同源策略的存在决定了浏览器在默认情况下无法对跨域请求的资源做进一步的处理。 为了实现对跨域资源的共享,W3C制定了一种叫做CORS的规范。 CORS规定了浏览器在接收到从资源提供者获取到资源时能够决定是否将此资源分发给资源消费者做进一步的处理。同时规定浏览器需要得到资源提供者的授权后才能将此资源分发给消费者。 资源提供者需要如何进行资源的授权?并将结果告知给浏览器? 如果浏览器本身支持CORS规范,那么通过
深入剖析.NETCORE中CORS(跨站资源共享)
farway000的博客
04-04 612
前言由于现代互联网的飞速发展,我们在开发现代 Web 应用程序中,经常需要考虑多种类型的客户端访问服务的情况;而这种情况放在15年前几乎是不可想象的,在那个时代,我们更多的是考虑怎么把网页快速友好的嵌套到服务代码中,经过服务器渲染后输出HTML到客户端,没有 iOS,没有 Android,没有 UWP。更多的考虑是 防止 XSS,在当时的环境下,XSS一度成为各个站长的噩梦,甚至网站开发的基本要求...
【ASP.NET Core跨域CORS配置全攻略】:彻底解决前后端分离开发中的跨域难题
最新发布
FuncLens的博客
11-01 754
彻底解决前后端分离开发中的跨域难题,本文详解ASP.NET Core 跨域 CORS 配置方法,涵盖常见场景、策略设置与中间件使用技巧,支持多种请求类型,提升项目兼容性与安全性,值得收藏。
【超详细实战】.NET Core 跨域配置(CORS)全攻略:从入门到生产环境避坑指南
黑暗中摸索
04-24 2198
跨域资源共享(CORS,Cross-Origin Resource Sharing)
[c#】.NET Core启用CORS解决跨域问题
xll的博客
10-28 970
在服务器的响应报文头中通过access-control-allow-origin告诉浏览器允许跨域访问的域名。
C#与ASP.NET开发精华指南
.NET Framework”作为整个技术栈的基础运行时环境,提供了CLR(公共语言运行时)、BCL(基础类库)、GC(垃圾回收机制)、JIT编译器、程序集加载、安全模型等一系列底层支持。本书应当深入剖析这些组件的工作原理...
ASP.NET Core MVC 网络技术学习笔记详解
综上所述,这份学习资料不仅提供了理论知识的系统梳理,更通过真实项目代码展示了ASP.NET Core MVC在企业级Web应用开发中的完整技术栈运用,是掌握现代.NET Web开发不可或缺的实战指南。对于希望转型全栈开发、提升...
ASP.NET面试题精选,助力.NET程序员求职
综上所述,这份“.NET 面试题”资料实质上是对整个 .NET 技术栈的一次全面梳理,涵盖了从底层 CLR 运行机制到上层 Web 应用开发实践的各个关键环节。熟练掌握这些知识点不仅能提升面试成功率,更能帮助开发者建立...
Jquery+JSON+WebService在ASP.NET中的应用解析
它不仅涵盖了从参数构造、请求发送到响应解析的完整流程,还深入剖析了 OOP 语言与动态脚本之间通过 JSON 进行数据映射的底层机制,尤其适用于需要快速构建轻量级 AJAX 接口但又受限于老旧技术栈的企业级应用开发...
.NET Framework应用跨域问题解决方案
热门推荐
菜鸟厚非
12-10 1万+
CORS 全称 Cross-Origin Resource Sharing,是一种允许当前域(domain)的资源(比如 html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。
.net跨域CORS问题处理
qq_16161603的博客
03-25 744
前后端分离项目,分开部署时会遇到跨域问题;需要前后端配合配置,若配置在同一网站目录下,则不需要解决跨域问题,接口和前端页面公用同一域名,用不同的路径访问即可
ASP.NET Core 配置跨域(CORS)
qq_39173779的博客
03-14 2892
目前使用的是ASP.NET CORE 2.1, 其Cors组件已经升级,出于安全考虑必须明确要允许的内容。由于项目中需要实时消息,所以就使用了ASP.NET(Core) SignalR实时通讯库。因为业务服务与通讯服务是独立的,所以涉及到跨域的问题, 浏览器抛出的异常非常明显,这个是明显跨域相关内容。浏览器控制台错误依然存在,.net core也提示了相关警告信息,差点就忘了现在使用.net core 版本和以前不一样了。特别注意:app.UseCors()必须放在app.UseMvc()之前。
Asp .Net Core 系列: 集成 CORS跨域配置
程序人生
01-11 3067
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
ASP.NET跨域请求中的问题【CORS
lordwish的专栏
09-12 6049
浏览器的安全策略会阻止网页向另一个站点发送ajax请求,同时也会阻止恶意站点从另一个站点读取数据。这种限制被称作“同源策略”。然而有时我们需要从一个站点访问另一个站点,比如从一个站点访问你的WebApi接口。 跨域资源共享-Cross Origin Resource Sharing(CORS)是一项W3C标准,允许服务端释放同源策略,使得服务端在接受一些跨域请求的同时拒绝其他的跨域请求。相比较早期
.NET Core 3.1 跨域请求 (CORS)
刘毅鹏的博客
06-05 443
.NET Core 3.1 跨域请求 (CORS) 在用ajax进行请求服务器资源时如果协议+主机名+端口号 (如存在)相同则允许交互,否则会出现跨域问题,不能访问和操作其他域下的资源。常用解决方式有在前端使用jsonp和在后端启用CORS。 jsonp可以支持get请求,但不支持post请求。完美的解决方案还是服务器端启用CORS。在.NET Core 3.1 启用CORS变得非常简单,不需要像早期的.NET CORE版本需要手动安装CORS程序包,只需要2步就可以完成。 1、添加策略 打开服务器端项目的
CORS全局跨域设置
weixin_45645846的博客
03-08 2288
方法一 使用注解对接口进行跨域设置 @CrossOrigin(origins = "*", maxAge = 3600) @RestController @RequestMapping("/test") public class TestController { @GetMapping("get") public String get() { // ... } } 方法二 直接实现实现WebMvcConfigurer @Configurati...
NET中解决WebAPI解决跨域问题
混迹自留地
03-10 3104
解决跨域问题 环境:NET 6 项目:WebAPI+Vue // 设置允许所有来源跨域 app.UseCors(options => { options.AllowAnyHeader(); options.AllowAnyMethod(); options.AllowAnyOrigin(); options.AllowCredentials(); }); // 设置只允许特定来源可以跨域 app.UseCors(options =>
.net CORS详解
小倪粑粑的BLOG
06-17 491
CORS规范中有两种类型: Simple requests Preflighted requests 前者无需额外的处理,但对于内容类型的支持,仅限三种: application/x-www-form-urlencoded multipart/form-data text/plain 对于除此以外的内容类型,比如application/json,CORS会以预检请求方式(Preflighted requests)处理。 在 ASP.NET Web API 2 中启用跨域请求 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值