.Net Core CORS跨域详解及使用

出于浏览器的同源策略限制。同源策略（Sameoriginpolicy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源（即指在同一个域）就是两个页面具有相同的协议（protocol），主机（host）和端口号（port）

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

【1】无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB

【2】无法接触非同源网页的 DOM

【3】无法向非同源地址发送 AJAX 请求

JSONP,CORS,Nginx等

这里主要讲解的是 asp.net core

CORS解决方案

Startup中配置

ConfigureServices中注册配置

添加CORS中间件

这样就在asp.net core中完成了跨域请求的配置

博客园

首页

联系

管理

随笔 - 94  文章 - 1  评论 - 167  阅读 - 81万

.Net Core 开发学习 —— 4. 服务器部署

本人之前买了个Windows Server2008 R2的腾讯云服务器，今天就刚好和大家一起分享下如何在服务器上部署.net core 的网站。

一. 在服务器上配置.net core 运行环境

首先，要先安装.net core 环境，根据项目的版本安装相应的sdk。

分别需要下载并安装：

VC++ 2015，vc_redist.x64；

版本2.2.0的SDK，dotnet-sdk-2.2.100-win-x64；

.Net运行时，dotnet-runtime-2.2.0-win-x64；

Asp.Net运行时，aspnetcore-runtime-2.2.0-win-x64；

以及hosting，dotnet-hosting-2.2.0-win。

输入命令行：dotnet --version

查看版本号，已确保.net core能够正常使用。

二. 开启配置IIS，配置网站

要确保服务器上有开启和安装iis服务：

打开控制面板 ->程序 ->打开或关闭Windows 功能 ->服务器管理器

右键 ->添加角色 ->勾选具体的角色服务，根据提示下一步：

展开Web服务器 ->右击Internet 信息服务，添加网站

添加完成后，点击 “应用程序池”，对刚新添加的.net core网站设置应用程序池，如图：

三. 访问网站

发现localhost: 端口 方式可以正常访问，但是直接用服务器ip或者域名无法访问。

最后，发现原因是腾讯云中没有对端口进行设置，需要在安全组里面添加并开放需要用到的网站的端口号

1、CORS的原理：CORS定义一种跨域访问的机制，可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单，只需由服务器发送一个响应标头即可。

2、tomcat如何配置cors的跨域请求： 

在tomcat中，有一个和cors相关的拦截器：CORS Filter

该过滤器可以通过添加必需的访问控制请求头Access-Control-*对象来进行跨域。同时还可以对一些请求进行拦截。如果请求是无效的，或者是不被允许的，该请求被拒绝或者禁止。 

其在web.xml文件中的基本配置如下：

<filter>

        <filter-name>CorsFilter</filter-name>

        <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>

        <init-param>

            <param-name>cors.allowed.origins</param-name>

            <param-value>

                ,

                

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.allowed.methods</param-name>

            <param-value>

                GET,POST,HEAD,OPTIONS,PUT

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.allowed.headers</param-name>

            <param-value>

                Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.exposed.headers</param-name>

            <param-value>

                Access-Control-Allow-Origin,Access-Control-Allow-Credentials

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.support.credentials</param-name>

            <param-value>true</param-value>

        </init-param>

        <init-param>

            <param-name>cors.preflight.maxage</param-name>

            <param-value>10</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CorsFilter</filter-name>

        <url-pattern>/wxrefund/*</url-pattern>

    </filter-mapping>

3、cors.allowed.origins：允许访问资源的源列表。*表示任何来源都可以访问该资源。否则，只有配置的白名单的来源可以访问该资源，其中白名单用逗号隔开，如,。

4、cors.allowed.methods：允许访问的http请求方法，如GET,POST,HEAD,OPTIONS,PUT等，方法名用逗号隔开。

5、cors.allowed.headers：在实际请求时可使用的请求头列表，用逗号隔开。如Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin。这些头也将返回作为访问控制的一部分。

---