ASP.NET Core CORS配置:跨域资源共享详解
项目地址: https://gitcode.com/GitHub_Trending/as/aspnetcore 前言:为什么需要CORS?
在现代Web开发中,前后端分离架构已成为主流。前端应用运行在浏览器中,而后端API通常部署在不同的域名或端口上。由于浏览器的同源策略(Same-Origin Policy)限制,这种跨域请求会被阻止,导致应用无法正常工作。
CORS(Cross-Origin Resource Sharing,跨域资源共享)正是为了解决这一问题而生的W3C标准。ASP.NET Core提供了完整的CORS支持,让开发者能够灵活地配置跨域策略。
CORS核心概念解析
CORS请求类型
简单请求 vs 预检请求
| 请求类型 | 触发条件 | 处理流程 |
|---|---|---|
| 简单请求 | GET/HEAD/POST方法 Content-Type为特定值 无自定义头 | 直接发送实际请求 |
| 预检请求 | 非简单方法(PUT/DELETE等) 自定义头 特殊Content-Type | 先发送OPTIONS请求 验证通过后发送实际请求 |
ASP.NET Core CORS配置详解
1. 基础配置步骤
服务注册
首先在Startup.cs或Program.cs中注册CORS服务:
// Program.cs (ASP.NET Core 6+)
var builder = WebApplication.CreateBuilder(args);
// 添加CORS服务
builder.Services.AddCors(options =>
{
options.AddPolicy("AllowSpecificOrigin",
policy =>
{
policy.WithOrigins("https://example.com", "https://localhost:3000")
.AllowAnyHeader()
.AllowAnyMethod();
});
});
var app = builder.Build();
// 使用CORS中间件
app.UseCors("AllowSpecificOrigin");
app.MapControllers();
app.Run();
传统Startup配置方式
// Startup.cs
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
{
options.AddPolicy("MyPolicy",
builder =>
{
builder.WithOrigins("http://example.com")
.AllowAnyHeader()
.AllowAnyMethod();
});
});
services.AddControllers();
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseCors("MyPolicy");
app.UseRouting();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
}
2. 策略配置选项详解
ASP.NET Core CORS提供了丰富的配置选项:
源(Origin)配置
// 允许特定源
policy.WithOrigins("https://example.com", "https://api.example.com");
// 允许所有源(慎用)
policy.AllowAnyOrigin();
// 使用通配符子域名
policy.SetIsOriginAllowedToAllowWildcardSubdomains();
// 自定义源验证逻辑
policy.SetIsOriginAllowed(origin =>
origin.EndsWith(".example.com") || origin == "https://localhost");
方法(Method)配置
// 允许特定HTTP方法
policy.WithMethods("GET", "POST", "PUT");
// 允许所有方法
policy.AllowAnyMethod();
头(Header)配置
// 允许特定请求头
policy.WithHeaders("Content-Type", "Authorization", "X-Custom-Header");
// 允许所有请求头
policy.AllowAnyHeader();
// 暴露特定响应头
policy.WithExposedHeaders("X-Total-Count", "X-Custom-Header");
凭据(Credentials)配置
// 允许携带凭据(cookies、授权头等)
policy.AllowCredentials();
// 不允许凭据
policy.DisallowCredentials();
预检请求缓存
// 设置预检请求缓存时间(减少OPTIONS请求)
policy.SetPreflightMaxAge(TimeSpan.FromHours(1));
3. 多策略配置
在实际项目中,通常需要为不同环境或不同客户端配置不同的CORS策略:
services.AddCors(options =>
{
// 开发环境策略
options.AddPolicy("DevelopmentPolicy", policy =>
{
policy.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader();
});
// 生产环境策略
options.AddPolicy("ProductionPolicy", policy =>
{
policy.WithOrigins("https://production.example.com")
.WithMethods("GET", "POST")
.WithHeaders("Content-Type", "Authorization")
.AllowCredentials();
});
// API专用策略
options.AddPolicy("ApiPolicy", policy =>
{
policy.WithOrigins("https://api-client.example.com")
.WithMethods("GET", "POST", "PUT", "DELETE")
.WithHeaders("Content-Type", "Authorization", "X-API-Key")
.WithExposedHeaders("X-Total-Count", "X-Rate-Limit")
.SetPreflightMaxAge(TimeSpan.FromMinutes(30));
});
});
4. 控制器级别的CORS配置
除了全局配置,还可以在控制器或Action级别应用特定策略:
[ApiController]
[Route("api/[controller]")]
[EnableCors("ApiPolicy")] // 控制器级别
public class ProductsController : ControllerBase
{
[HttpGet]
[EnableCors("PublicPolicy")] // Action级别
public IActionResult GetProducts()
{
return Ok(products);
}
[HttpPost]
[DisableCors] // 禁用CORS
public IActionResult CreateProduct(Product product)
{
// 仅限同源访问
return CreatedAtAction(nameof(GetProduct), new { id = product.Id }, product);
}
}
CORS配置最佳实践
安全配置建议
环境差异化配置
// 根据环境变量配置不同的CORS策略
var corsBuilder = services.AddCors(options =>
{
if (env.IsDevelopment())
{
options.AddPolicy("CorsPolicy", policy =>
{
policy.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader();
});
}
else
{
options.AddPolicy("CorsPolicy", policy =>
{
policy.WithOrigins(configuration["AllowedOrigins"].Split(';'))
.WithMethods("GET", "POST", "PUT", "DELETE")
.WithHeaders("Content-Type", "Authorization")
.AllowCredentials();
});
}
});
常见问题排查
1. 预检请求失败
// 确保OPTIONS请求被正确处理
app.UseCors("MyPolicy");
app.UseRouting(); // UseCors必须在UseRouting之前
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
2. 凭据与通配符源冲突
// 错误配置:AllowAnyOrigin和AllowCredentials不能同时使用
policy.AllowAnyOrigin().AllowCredentials(); // 运行时异常
// 正确配置:使用具体的源
policy.WithOrigins("https://trusted.example.com").AllowCredentials();
3. 响应头未暴露
// 自定义响应头需要显式暴露
policy.WithExposedHeaders("X-Custom-Header", "X-Total-Count");
高级应用场景
动态CORS策略
// 实现自定义的CORS策略提供程序
public class DynamicCorsPolicyProvider : ICorsPolicyProvider
{
private readonly IConfiguration _configuration;
public DynamicCorsPolicyProvider(IConfiguration configuration)
{
_configuration = configuration;
}
public Task<CorsPolicy> GetPolicyAsync(HttpContext context, string policyName)
{
var policy = new CorsPolicyBuilder()
.WithOrigins(GetAllowedOrigins())
.AllowAnyMethod()
.AllowAnyHeader()
.Build();
return Task.FromResult(policy);
}
private string[] GetAllowedOrigins()
{
// 从数据库或配置中动态获取允许的源
return _configuration["AllowedOrigins"].Split(';');
}
}
// 注册自定义提供程序
services.AddTransient<ICorsPolicyProvider, DynamicCorsPolicyProvider>();
微服务架构中的CORS
在微服务架构中,通常建议在API网关层面统一处理CORS,而不是在每个微服务中单独配置:
// API网关中的统一CORS配置
app.UseCors(policy => policy
.WithOrigins("https://webapp.example.com")
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials());
性能优化建议
预检请求缓存
// 合理设置预检请求缓存时间
policy.SetPreflightMaxAge(TimeSpan.FromMinutes(30));
// 对于稳定的API,可以设置更长的缓存时间
policy.SetPreflightMaxAge(TimeSpan.FromHours(24));
减少不必要的CORS检查
对于不需要CORS的端点,可以跳过CORS中间件:
app.UseWhen(context => !context.Request.Path.StartsWithSegments("/health"),
appBuilder => appBuilder.UseCors("MyPolicy"));
总结
ASP.NET Core的CORS配置提供了强大而灵活的跨域请求控制能力。通过合理的策略配置,可以在确保安全的前提下,为现代Web应用提供良好的跨域支持。关键是要遵循最小权限原则,明确指定允许的源、方法和头,避免过度开放的配置。
记住:CORS是浏览器端的安全机制,服务器端的验证同样重要。永远不要完全依赖CORS来保护你的API,应该在服务器端实施完整的安全验证。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
