所以这是不安全的,不是我最喜欢的选择,但我只是想知道它是多么可能。有没有办法在cors请求中找到主机,以便我可以发回一个Access-Control-Allow-Origin:" domain.com" domain是使用api的任何域。原因是我希望能够使用凭证"本质上是一个通配符。
我可以让我的最终用户向我发送他们的主机名,但如果可能的话,我宁愿从请求本身中提取它。
答案 0 :(得分:2)
可能,假设您使用Microsoft.AspNet.WebApi.Cors在API上启用CORS,您需要定义自己的Cors Policy Provider:
public class MyApiCorsPolicy : Attribute, ICorsPolicyProvider
{
private System.Web.Cors.CorsPolicy _policy;
public MyApiCorsPolicy ()
{
// Create a CORS policy.
_policy = new System.Web.Cors.CorsPolicy
{
AllowAnyMethod = true,
AllowAnyHeader = true,
SupportsCredentials = true
};
}
public Task<System.Web.Cors.CorsPolicy> GetCorsPolicyAsync(System.Net.Http.HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
{
// Add the Request origin to the response.
_policy.Origins.Add(request.GetCorsRequestContext().Origin);
return Task.FromResult<System.Web.Cors.CorsPolicy>(_policy);
}
}
接下来,在您的ASP.NET Web Api配置代码中,您需要在启用Cors时传递此策略:
config.EnableCors(new MyApiCorsPolicy());