USING CORS WITH ASP NET WEB API

最新推荐文章于 2025-08-01 10:25:28 发布
转载 最新推荐文章于 2025-08-01 10:25:28 发布 · 468 阅读 · 0

本文介绍如何在ASP.NET Web API中实现跨域资源共享(CORS),并详细讲解了服务器端配置步骤及客户端JavaScript设置方法。

If you are writing an ASP.NET Web API and you want to call it from a JavaScript (CoffeeScript, TypeScript) program on another domain, here are the steps you need to take to make it happen. I know that you are smart and you know what you are doing, so I’m not bulking out this article with lectures on the dangers of cross-site requests from either the server or client perspective. There are tons of articles on this, which you will have found while searching for how to do it.

I’m going to divide things into two sections. Stuff you need to do in ASP.NET Web API on the server and stuff you need to do in JavaScript in your client.

ASP.NET WEB API

There are just a couple of things to add to your ASP.NET Web API project to enable CORS requests.

  1. CorsMessageHandler

    When you use CORS to make a request, the browser sends a pre-flight OPTIONS request before it sends the real request. The CorsMessageHandler intercepts the OPTIONS requests and sends the correct response to allow the CORS request. If you don’t respond correctly to the OPTIONS request, the browser will never send the real request – and you’ll be confused by what you see in your developer tools!

  2. HandlerConfig

    The handler configuration just registers the CorsMessageHandler in your global configuration.

  3. Global

    You need to call your HandlerConfig from the Application_Start method in your Global.asax.cs file.

  4. Web.Config

    You may need to adjust your config file to allow the CORS OPTIONS request.

CODE

All of the code for these three changes is listed below.

CorsMessageHandler.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Net.Http;
using System.Threading.Tasks;
using System.Threading;
using System.Net;

namespace YourApplication.MessageHandlers
{
    public class CorsMessageHandler : DelegatingHandler
    {
        const string Origin = "Origin";
        const string AccessControlRequestMethod = "Access-Control-Request-Method";
        const string AccessControlRequestHeaders = "Access-Control-Request-Headers";
        const string AccessControlAllowOrigin = "Access-Control-Allow-Origin";
        const string AccessControlAllowMethods = "Access-Control-Allow-Methods";
        const string AccessControlAllowHeaders = "Access-Control-Allow-Headers";

        protected override Task<httpresponsemessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
        {
            return request.Headers.Contains(Origin) ?
                ProcessCorsRequest(request, ref cancellationToken) :
                base.SendAsync(request, cancellationToken);
        }

        private Task<httpresponsemessage> ProcessCorsRequest(HttpRequestMessage request, ref CancellationToken cancellationToken)
        {
            if (request.Method == HttpMethod.Options)
            {
                return Task.Factory.StartNew<httpresponsemessage>(() =>
                {
                    HttpResponseMessage response = new HttpResponseMessage(HttpStatusCode.OK);
                    AddCorsResponseHeaders(request, response);
                    return response;
                }, cancellationToken);
            }
            else
            {
                return base.SendAsync(request, cancellationToken).ContinueWith<httpresponsemessage>(task =>
                {
                    HttpResponseMessage resp = task.Result;
                    resp.Headers.Add(AccessControlAllowOrigin, request.Headers.GetValues(Origin).First());
                    return resp;
                });
            }
        }

        private static void AddCorsResponseHeaders(HttpRequestMessage request, HttpResponseMessage response)
        {
            response.Headers.Add(AccessControlAllowOrigin, request.Headers.GetValues(Origin).First());

            string accessControlRequestMethod = request.Headers.GetValues(AccessControlRequestMethod).FirstOrDefault();
            if (accessControlRequestMethod != null)
            {
                response.Headers.Add(AccessControlAllowMethods, accessControlRequestMethod);
            }

            string requestedHeaders = string.Join(", ", request.Headers.GetValues(AccessControlRequestHeaders));
            if (!string.IsNullOrEmpty(requestedHeaders))
            {
                response.Headers.Add(AccessControlAllowHeaders, requestedHeaders);
            }
        }
    }
}

App_Start/HandlerConfig

using System.Collections.ObjectModel;
using System.Net.Http;
using YourApplication.MessageHandlers;

namespace YourApplication
{
    public class HandlerConfig
    {
        public static void RegisterHandlers(Collection<delegatinghandler> handlers)
        {
            handlers.Add(new CorsMessageHandler());
        }
    }
}

Global.asax.cs

using System.Diagnostics.CodeAnalysis;
using System.Web;
using System.Web.Http;
using System.Web.Mvc;
using System.Web.Optimization;
using System.Web.Routing;

namespace YourApplication
{
    public class WebApiApplication : HttpApplication
    {
        protected void Application_Start()
        {
            AreaRegistration.RegisterAllAreas();

            WebApiConfig.Register(GlobalConfiguration.Configuration);
            FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
            RouteConfig.RegisterRoutes(RouteTable.Routes);
            BundleConfig.RegisterBundles(BundleTable.Bundles);
            HandlerConfig.RegisterHandlers(GlobalConfiguration.Configuration.MessageHandlers);
        }
    }
}

JAVASCRIPT CHANGES

The essence of making things work in JavaScript is to ensure you set an “X-Requested-With” header. If you are using jQuery, this is built into the jQuery.ajax component. If you are rolling your own AJAX code, you need to use:

xhr.setRequestHeader("X-Requested-With", "XMLHttpRequest"];

If you are using jQuery, you’ll need to ask it nicely to do this for you:

jQuery.support.cors = true;<span id="mce_marker" data-mce-type="bookmark">​</span>

SSL

If your ASP.NET Web API is delivered over SSL, the page calling will need to be SSL too if you want it to work in all browsers, so if the service address is HTTPS, the calling page needs to be HTTPS.

I WANT COOKIES

If you want to allow cookies, you need to add a special header.

response.Headers.Add("Access-Control-Allow-Credentials", "true");

In JavaScript, you can set the withCredentials flag to true:

myXmlHttpRequest.withCredentials = true;

CONFIG FILE

You may come across a situation where the initial OPTIONS request never gets handled by your .NET application. The request might get a 200 OK response, but with the wrong headers to allow your cross-origin request to proceed. If you don’t get the 200 response, check that IIS allows the OPTIONS verb – but if you get the 200, but it isn’t hitting your code, you might need to add the OPTIONSVerbHandler line to the handlers section of your web.config file:

<handlers>
  <remove name="OPTIONSVerbHandler"/>
  <!-- ... -->
</handlers>

SUMMARY

And that’s all there is to it (okay, there was quite a bit of code to copy and paste, but the principle of it all is very simple). Kudos to the guys who made things so configurable in ASP.NET MVC / ASP.NET Web API!

.NET Core Web API上为CORS启用OPTIONS标头
ai_64的博客
07-19 9252
在dotnet core web api中支持CORS(跨域访问) 问题描述: 需要提前设置好cors,设置好cors后,get或者post(pain/text)这些简单类型都可以请求。 但是, 需要对服务器进行非简单请求时,比如context-type为json时,第一次会发送option方法探测,第二次才会正式发送post请求,由于webapi未开启option方法,前端会收到204错...
全栈开发:使用.NET Core WebAPI构建前后端分离的核心技巧(一)
ztK63LrD的博客
02-03 2841
无论使用哪种过期时间策略,程序中都会存在缓存不一致的清空,部分系统(博客系统等)无所谓,部分系统不能忍受(比如金融),可以通过其他机制获取数据源改变的消息,再通过代码调用IMemoryCache的Set方法更新缓存。
ServiceStack与ASP.Net Web API [关闭]
xfxf996的博客
07-11 852
I want to write a new REST style API and have looked at ServiceStack and quite like it. 我想编写一个新的RES
ASP.NET WebAPI CORS跨域终极解决方案(前端使用uniapp的uni.request调用后端方法)
qq_56306262的博客
08-01 1017
本文针对ASP.NET WebAPI开发中的CORS跨域问题,提出了一套完整解决方案。通过分析发现,主要问题源于Web.config、Global.asax.cs和WebApiConfig.cs中的多重CORS配置冲突。解决方案包括:统一在Web.config配置CORS头、清理冗余代码、添加OPTIONS方法处理预检请求、确保IIS集成模式等。特别针对开发环境与生产环境的差异,提供了四种OPTIONS请求处理方案,推荐使用通配符方法或全局CORS过滤器。部署时需注意备份配置、检查IIS版本和正确测试。该方
ASP.NET Web API 支持 CORS
胡杰的专栏
08-04 907
ASP.NET Web API 支持 CORS Cross-Origin Resource Sharing (CORS) 是W3C草案拟定的浏览器与服务端如何进行跨域请求的方式,其原理是用自定义HTTP头来让浏览器和SERVER决定request、response的成功或失败。目前几乎所有浏览器都已经支持了(Internet Explorer 8+, Firefox 3.5+,
本地开发用ASP.NET Core Web API项目创建及测试
way_hj的专栏
02-24 1861
使用NuGet管理包工具在项目中安装Oracle数据库的EF Core依赖:Oracle.EntityFrameworkCore。在Visual Studio中,选择“发布”选项,将项目发布为自包含的可执行文件。中添加Oracle数据库的连接字符串。选择“ASP.NET Core Web API”模板,点击“下一步”。路径的请求转发到ASP.NET Core应用。如果一切配置正确,页面将显示对应的用户信息。:确保Apache服务器已安装并运行。),选择项目位置,点击“创建”。指向Apache的根目录。
通过微软的cors类库,让ASP.NET Web API 支持 CORS
weixin_30871293的博客
10-24 182
前言:因为公司项目需要搭建一个Web API 的后端,用来传输一些数据以及文件,之前有听过Web API的相关说明,但是真正实现的时候,感觉还是需要挺多知识的,正好今天有空,整理一下这周关于解决CORS的问题,让自己理一理相关的知识。 ASP.NET Web API支持CORS方式,据我目前在网上搜索,有两种方式 通过扩展CorsMessageHandle实现:...
C#进阶-ASP.NETWebService跨域CORS问题解决方案
热门推荐
踏雨歌青春,诗酒趁年华
05-17 1万+
本文介绍如何解决.net framework开发asp.net时常见的CORS跨域请求被拦截的问题。在现代的Web应用程序开发中,跨域资源共享(Cross-Origin Resource Sharing, CORS)问题是开发者经常遇到的一个挑战。特别是当前端和后端服务部署在不同的域名或端口时,CORS问题就会显得尤为突出。在这篇博客中,我们将深入探讨如何在 `.NET WebService` 中解决CORS问题,帮助开发者顺利实现跨域请求。
CORS support for ASP.NET Web API (转载)
davy57345的博客
05-23 93
CORS support for ASP.NET Web API Overview Cross-origin resource sharing (CORS) is a standard that allows web pages to make AJAX requests to another domain. It relaxes the same-origin policy imp...
前后端分离之CORSWebApi
donghuipan7243的博客
10-20 282
目前的项目是前端mv*+api的方式进行开发的,以前都是没有跨域的方案,前后端人员在同一个解决方案里边进行开发,前端人员要用IIS或VS来开发和调试Api,这样就很不方便,迫切需要跨域访问Api. 评选了很多解决方案最终选择,CORS+WebApi cors科普:http://www.ruanyifeng.com/blog/2016/04/cors.html cors网站:http...
ASP.NET WebAPI实现跨域访问教程
"本文档详细介绍了如何在ASP.NET WebAPI中解决跨域问题,通过使用Cross-Origin Resource Sharing (CORS)这一W3C标准来放宽同源策略的限制。" 同源策略是浏览器的一项安全机制,它禁止了一个网页通过AJAX请求访问...
.NET Framework 4.7.2 Web API基础框架搭建指南
m0_52522230的博客
05-16 4906
本项目集成了以下关键技术,以提升Web API的可用性、安全性和维护性:利用Swagger工具自动生成和维护API文档,为开发者提供清晰的接口定义和测试环境。:通过集成Log4Net日志框架,实现对系统运行时错误的记录与统计,便于问题的快速定位和解决。:采用Token-based身份验证机制,确保API调用的安全性和用户操作的合法性。:部署接口防刷策略,保护API免受恶意攻击和滥用,维护服务的稳定性。
【构建高性能Web服务】:掌握.NET Framework 4.0中的ASP.NET Web API开发技巧
[【构建高性能Web服务】:掌握.NET Framework 4.0中的ASP.NET Web API开发技巧](https://www.ifourtechnolab.com/pics/Dependency-Injection-in-Asp-Net-Core.webp) # 摘要 ASP.NET Web API 作为一种构建Web服务的...
mamba-ssm-2.2.2-cp310-cp310-win-amd64.whl+安装环境+测试脚本.7z
12-15
编译环境: vs2022 win10 x64 anaconda3+python3.10 torch==2.3.1+cu118 cuda11.8.0+cudnn8.9.7 triton==2.1.0 causal_conv1d==1.4.0 mamba==2.2.2 RTX2070显卡 注意编译的whl是不能用于RTX50显卡的,可以用于RTX20-RTX40系列显卡,安装时候尽量和模块一致
toplus1s_calculator_32040_1765656584703.zip
12-15
toplus1s_calculator_32040_1765656584703.zip
【创新无忧】基于多元宇宙优化算法MVO优化相关向量机RVM实现数据多输入单输出回归预测附matlab代码.zip
12-15
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究(Matlab代码实现)
12-15
基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究(Matlab代码实现)内容概要:本文围绕“基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究”,介绍了利用Matlab代码实现配电网可靠性的仿真分析方法。重点采用序贯蒙特卡洛模拟法对配电网进行长时间段的状态抽样与统计,通过模拟系统元件的故障与修复过程,评估配电网的关键可靠性指标,如系统停电频率、停电持续时间、负荷点可靠性等。该方法能够有效处理复杂网络结构与设备时序特性,提升评估精度,适用于含分布式电源、电动汽车等新型负荷接入的现代配电网。文中提供了完整的Matlab实现代码与案例分析,便于复现和扩展应用。; 适合人群:具备电力系统基础知识和Matlab编程能力的高校研究生、科研人员及电力行业技术人员,尤其适合从事配电网规划、运行与可靠性分析相关工作的人员; 使用场景及目标:①掌握序贯蒙特卡洛模拟法在电力系统可靠性评估中的基本原理与实现流程;②学习如何通过Matlab构建配电网仿真模型并进行状态转移模拟;③应用于含新能源接入的复杂配电网可靠性定量评估与优化设计; 阅读建议:建议结合文中提供的Matlab代码逐段调试运行,理解状态抽样、故障判断、修复逻辑及指标统计的具体实现方式,同时可扩展至不同网络结构或加入更多不确定性因素进行深化研究。
基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)研究(Matlab代码实现)
12-15
基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)研究(Matlab代码实现)内容概要:本文介绍了基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)的电力系统优化控制研究,并提供了相应的Matlab代码实现。该研究聚焦于提升含光热电站电力系统的安全性与稳定性,特别计及N-k安全约束,通过结合CLBF的稳定性保证能力和DMPC的分布式协同优化优势,实现对复杂电力系统的高效、可靠控制。文中还展示了多个相关
基于Spring Boot的流浪宠物救助系统的设计与实现源码.zip
最新发布
12-15
基于Spring Boot的流浪宠物救助系统的设计与实现源码.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值