MVC跨域CORS扩展

最新推荐文章于 2024-03-25 18:42:23 发布
转载 最新推荐文章于 2024-03-25 18:42:23 发布 · 155 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/a546558309/p/5035471.html
文章标签:

#测试 #json

       一般的基于浏览器跨域的主要解决方法有这么几种:1.JSONP       2.IFrame方式    3.通过flash实现  4.CORS跨域资源共享  ,这里我们主要关注的是在MVC里面的CORS跨域,其余的方式大家可以在网上找到相关的知识看一下。

      

  •  CORS的原理:
     CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。
      context.HttpContext.Response.AppendHeader("Access-Control-Allow-Origin", origin);
  • CORS浏览器支持情况如下图:
      
    
        也就是说除了IE8以下版本的浏览器不支持,其余的基于W3c标准的大部分都是支持的。
   

一般的针对ASP.NET MVC,cors跨域访问,只需要在web.config中添加如下的内容即可

<system.webServer>

<httpProtocol>

<customHeaders>

<add name="Access-Control-Allow-Origin" value="*" />

<add name="Access-Control-Allow-Headers" value="Content-Type" />

<add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />

</customHeaders>

</httpProtocol>

<handlers>

<remove name="ExtensionlessUrlHandler-Integrated-4.0" />

<remove name="OPTIONSVerbHandler" />

<remove name="TRACEVerbHandler" />

<add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />

</handlers>

</system.webServer>

 

但是这种全局设置存在局限性,因为你无法有选择性的设置可以跨域访问你本站的站点,所以就想到能不能通过特性标记控制器,或者标记控制器中的方法来设置跨域访问权限。

比如如下的方式

[ControllerAllowOrigin(AllowSites=new string[] { "aa.com" ,"bb.com"})]

public    class          TestController

     {

  

     }

    这样你可以设置aa.com,bb.com跨域请求你站点TestController里面的任何数据接口方法

   或者是如下方式:

 

public    class          TestController

     {

       [ActionAllowOrigin(AllowSites=new string[] { "aa.com" ,"bb.com"})]

        public   JsonResult   Test()

        {

 

        }

     }

    设置aa.com,bb.com只能跨域请求你站点里面的TestController中的Test方法。

    这样的话,我们控制起来就更加灵活方便,允许跨域访问本站的,在AllowSites里面添加地址就行了。

  1.  基于控制器的跨域访问设置,这边我定义了一个ControllerAllowOriginAttribute,继承于AuthorizeAttribute

  代码如下:

    public class ControllerAllowOriginAttribute : AuthorizeAttribute
    {
        public string[] AllowSites { get; set; }
        public override void OnAuthorization(System.Web.Mvc.AuthorizationContext filterContext)
        {
            AllowOriginAttribute.onExcute(filterContext, AllowSites);
        }

    }

 

2.基于方法的跨域访问设置,我定义了一个ActionAllowOriginAttribute,继承于ActionFilterAttribute,

  代码如下:

 public class ActionAllowOriginAttribute : ActionFilterAttribute
    {
        public string[] AllowSites { get; set; }
        public override void OnActionExecuting(System.Web.Mvc.ActionExecutingContext filterContext)
        {
            AllowOriginAttribute.onExcute(filterContext, AllowSites);
            base.OnActionExecuting(filterContext);
        }
    }

 

核心代码其实很简单,就这么几行:

public class AllowOriginAttribute
    {
        public static void onExcute(ControllerContext context, string[] AllowSites)
        {
            var origin = context.HttpContext.Request.Headers["Origin"];
            Action action = () =>
            {
                context.HttpContext.Response.AppendHeader("Access-Control-Allow-Origin", origin);

            };
            if (AllowSites != null && AllowSites.Any())
            {
                if (AllowSites.Contains(origin))
                {
                    action();
                }
            }
            
        }
    }

其中设置跨域访问权限的代码就是这一段HttpContext.Response.AppendHeader("Access-Control-Allow-Origin", origin);

 

完整的代码如下:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace IocTEST.Common
{
    public class AllowOriginAttribute
    {
        public static void onExcute(ControllerContext context, string[] AllowSites)
        {
            var origin = context.HttpContext.Request.Headers["Origin"];
            Action action = () =>
            {
                context.HttpContext.Response.AppendHeader("Access-Control-Allow-Origin", origin);

            };
            if (AllowSites != null && AllowSites.Any())
            {
                if (AllowSites.Contains(origin))
                {
                    action();
                }
            }
            

        }
    }

    public class ActionAllowOriginAttribute : ActionFilterAttribute
    {
        public string[] AllowSites { get; set; }
        public override void OnActionExecuting(System.Web.Mvc.ActionExecutingContext filterContext)
        {
            AllowOriginAttribute.onExcute(filterContext, AllowSites);
            base.OnActionExecuting(filterContext);
        }
    }
    public class ControllerAllowOriginAttribute : AuthorizeAttribute
    {
        public string[] AllowSites { get; set; }
        public override void OnAuthorization(System.Web.Mvc.AuthorizationContext filterContext)
        {
            AllowOriginAttribute.onExcute(filterContext, AllowSites);
        }

    }


  
}
View Code

 

调用方式

  [ControllerAllowOrigin(AllowSites = new string[] { "http://www.cnblogs.com" })]
    public class HomeController : Controller
    {

   
        public JsonResult Test()
        {
            return Json(new { name = "aaa" }, JsonRequestBehavior.AllowGet);
        }

   }

 

 

  public class HomeController : Controller
    {

        [ActionAllowOrigin(AllowSites = new string[] { "http://www.cnbeta.com" })]
        public JsonResult Test()
        {
            return Json(new { name = "aaa" }, JsonRequestBehavior.AllowGet);
        }

   }

 

测试的时候,可以将需要跨域访问你本地localhost站点的网站打开,然后F12打开firebug,在console里面输入$.post('http://localhost:80/',{},function(){})或者

$.get('http://localhost:80/',{},function(){})  观察请求状态。

 

转载于:https://www.cnblogs.com/a546558309/p/5035471.html

请求的终极武器:Spring MVC一招搞定OPTIONS预检
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
11-28 217
资源共享(CORS)是Web开发中常见的挑战,特别是在前后端分离架构下。Spring MVC提供简单配置 spring.mvc.dispatch-options-request=true,能够自动处理OPTIONS预检请求,帮助开发者轻松解决问题。
SpringMvc CORS-处理
存在,即合理
05-26 753
同源"指的是"三个相同":同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。限制:如果非同源,共有三种行为受到限制。工作原理是添加新的HTTP headers来让服务器描述哪些源的请求可以访问该资源,对于可能对服务器造成不好影响的请求,规范规定浏览器需要先发送“预检”请求(也就是OPTION请求),在预检请求通过后再发送实际的请求,服务器还可以通知客户端是否应该随请求发送“凭据”(例如 Cookie 和 HTTP 身份验证)。Request HeaderResonse Header支持的源,
Spring MVC 4.2 增加 CORS 支持
dawuafang
01-03 601
Spring MVC 4.2 增加 CORS 支持 站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在不同于该请求所指向资源所在的的 HTTP 请求。比如说,名A(http://domaina.example)的某 Web 应用程序中通过标签引入了名B(http://domainb.foo)站点的某图片资源(http://domainb.foo...
Spring Web MVC资源共享(CORS
听海边涛声
03-20 913
Spring Web MVC资源共享(CORS
SpringMVC开启CORS支持
z69183787的专栏
11-09 5494
前言 浏览器出于安全考虑,限制了JS发起站请求,使用XHR对象发起请求必须遵循同源策略(SOP:Same Origin Policy),站请求会被浏览器阻止,这对开发者来说是很痛苦的一件事,尤其是要开发前后端分离的应用时。 在现代化的Web开发中,不同网络环境下的资源数据共享越来越普遍,同源策略可以说是在一定程度上限制了Web API的发展。 简单的说,CORS就是为了AJAX能够安全
SpringMVC CORS解决方案 2021-9-20
qq_21438267的博客
09-20 1187
SpringMVC 应用开发 1 基础概念介绍 2 返回值处理 3 参数绑定处理 4 RequestMapping注解 5 RESTful支持 6 拦截器应用 7 CORS解决方案 8 Mock测试(模拟测试) 9 ControllerAdvice 10 乱码解决 11 非注解开发方式 CORS解决方案SpringMVC 应用开发一、 什么是二、 如何解决三、 使用CORS3.1 什么是CORS3.2 客户端处理 (了解)3.2.1 对于简单请求3.2.2 非简单请求请求信息3.3
详解Spring MVC CORS
08-30
详解 Spring MVC CORS 在 Web 开发中,资源共享(Cross-origin resource sharing,CORS)是一个非常重要的...通过使用 CORS ,我们可以实现不同名下的资源共享,提高 Web 应用程序的灵活性和可扩展性。
MVC解决方案
08-21
总结来说,MVC中处理问题主要依赖于CORS机制,通过配置中间件、过滤器或Web.config文件来允许特定的源进行访问。同时,也可以考虑JSONP、后端代理等其他解决方案。在实际项目中,应根据安全性和需求选择合适...
基于C#后台调用MVC服务及带Cookie验证的实现
09-05
解决问题有多种方式,如JSONP(JSON with Padding)、CORS(Cross-Origin Resource Sharing)和代理服务器。本文将重点介绍通过C#后台服务作为代理,处理MVC服务调用并携带Cookie验证的实现。 【C#后台服务...
Spring MVC(7)CORS
codezhuyc的博客
10-27 371
目录一 简介CORS 出现前的情况二 简单请求CORS处理策列后台处理浏览器处理描述 CORS 返回结果三 非简单请求预检请求处理策略后台处理四 配置 CORS针对某个接口针对一系列接口添加全局配置添加一个配置类添加 Filter 的方式五 原理六 携带cookie参考 一 简介 同源策略(same origin policy)是浏览器安全的基石。在同源策略的限制下,非同源的网站之间不能发送 aj...
Spring MVCCORS
huaweitman的专栏
05-09 404
http://www.cnblogs.com/Coding-net/p/6207122.html
spring MVC cors实现源码解析
weixin_34040079的博客
02-08 391
spring MVC cors实现源码解析 名词解释:资源共享(Cross-Origin Resource Sharing) 简单说就是只要协议、IP、http方法任意一个不同就是。 spring MVC自4.2开始添加了的支持。 具体的定义请移步mozilla查看 使用案例 spring mvc使用有3种方式: 在web.xml中配置CorsFilter <f...
Spring MVC(四)— CORS、HTTP缓存及MVC配置
KEEP CODING
03-25 1036
Spring CORS 允许开发者配置哪些可以访问其Web应用的资源。HTTP缓存是提高Web应用程序性能的一种重要技术。通过实现WebMvcConfigurer接口来对MVC容器进行配置。
Spring MVC 实现 CORS
z69183787的专栏
08-16 1542
https://www.jianshu.com/p/9203e9b14465   前言:众所周知,出于安全考虑,XMLHttpReqeust 对象发起的 HTTP 请求必须满足同源策略(same-origin policy)的规定,否则浏览器将会对该请求进行限制。虽然同源策略的实现带来的Web安全的提升,但是却为一些正规的需求带来不便,故此衍生出了若干种绕开同源策略的方案,其中 JS...
Spring MVC 后端接口支持CORS调用
xiang__liu的博客
07-19 2230
Spring MVC 从4.2版本开始增加了对CORS的支持,可以全局配置,也可以对类或方法配置;可以通过Java代码,也可以通过xml配置方式。 对于低版本的Spring MVC 可以通过Filter 往response写http header来实现 还有一种更省事的办法是在Nginx上加入支持。 Java配置 新建一个类,做的配置 @Configuration @EnableWeb...
Spring处理多种方式(<mvc:cors>,@CrossOrigin)
weixin_44519904的博客
08-11 627
.简单来说, 会根据请求头的Origin,判断是否为请求. 通过设置responseHeaders(Access-Control-Allow-Origin等), 来允许请求.(注意OPTIONS请求才会设置其他Access-Control-Allow-*头) 总的来说, 可以在Filter(CorsFilter) 或 Interceptor(CorsInterceptor)中判断并设置处理headers.(当然Spring提供的类, 最后的都复用同一个类DefaultCorsProcessor).
RESTful开发风格8:问题二:Spring MVC实现“CORS访问”的两种策略:类上使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置;
小枯林的博客
11-18 1470
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同中的资源,就需要一种“访问”机制】→【所以,在介绍“访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
SpringMVC cors配置
q826qq1878的博客
07-27 8411
目前有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这里就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response里面配置上各种允许。就好了。 cors又分2种 网上资料很多。我这里简单概述一下 1、简单请求:平常get、post(表单提交) 啥头信息都不加的情况 就是...
PHP文件CORS问题解决办法
最新发布
02-25
### 如何在PHP中解决CORS问题 #### 设置响应头 为了处理资源共享(CORS)问题,在PHP脚本最开始处设置HTTP响应头是一个常见做法。这可以通过`header()`函数来完成,确保服务器返回适当的Access-Control-Allow-Origin(ACAO)头部。 ```php <?php // 允许所有名访问资源 header("Access-Control-Allow-Origin: *"); // 如果仅限特定名, 替换*为指定URL // header("Access-Control-Allow-Origin: https://example.com"); // 支持的请求方法 header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS"); // 允许携带认证信息(cookie等) header("Access-Control-Allow-Credentials: true"); // 允许的自定义请求头字段 header("Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With"); ?> ``` 上述代码片段展示了如何配置基本的CORS策略[^1]。对于更复杂的场景,比如当需要对不同路由实施不同的CORS政策时,可以考虑基于框架特性或第三方库来进行管理。 #### 中间件方式(以Laravel为例) 在一个结构化的Web应用里,特别是像Laravel这样的MVC架构下,推荐采用中间件的方式来统一管理和控制CORS行为。创建一个专门用于处理CORS逻辑的中间件,并将其注册到全局或者针对某些特定路由组/控制器上[^4]。 ```php public function handle($request, Closure $next) { // 添加必要的CORS头部 return $next($request)->header('Access-Control-Allow-Origin', '*') ->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS') ->header('Access-Control-Allow-Headers', 'Content-Type, Authorization'); } ``` 这种方法不仅使代码更加整洁易维护,而且便于扩展和调整安全策略。 #### 安全性和最佳实践 值得注意的是,在开放API接口的同时也要注意保护系统的安全性。遵循最小权限原则只暴露必需的服务端点;避免过度宽松地使用通配符(*)除非确实有必要;如果启用了凭证共享(`Allow-Credentials`)则不允许将Origin设为通配符[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值