我有一个简单的actionmethod,返回一些json。它在ajax.example.com上运行。我需要从另一个网站someothersite.com访问它。
如果我试着打电话,我会得到预期的......:
Origin http://someothersite.com is not allowed by Access-Control-Allow-Origin.
我知道有两种解决方法:JSONP并创建custom HttpHandler 设置标题。
有没有更简单的方法?
简单的操作是否无法定义允许的来源列表 - 或者简单地允许每个人?也许是一个动作过滤器?
最佳将是......:
return json(mydata, JsonBehaviour.IDontCareWhoAccessesMe);
答案 0 :(得分:361)
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
filterContext.RequestContext.HttpContext.Response.AddHeader("Access-Control-Allow-Origin", "*");
base.OnActionExecuting(filterContext);
}
}
[AllowCrossSiteJson]
public ActionResult YourMethod()
{
return Json("Works better?");
}
using System;
using System.Web.Http.Filters;
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)
{
if (actionExecutedContext.Response != null)
actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
base.OnActionExecuted(actionExecutedContext);
}
}
[AllowCrossSiteJson]
public class ValuesController : ApiController
{
[AllowCrossSiteJson]
public IEnumerable<PartViewModel> Get()
{
...
}
IE&lt; = 9不支持CORS。我写了一个javascript,它会自动通过代理路由这些请求。这一切都是100%透明的(您只需要包含我的代理和脚本)。
使用nuget corsproxy下载并按照附带说明进行操作。
答案 1 :(得分:115)
如果您使用的是IIS 7+,则可以在system.webServer部分中将web.config文件放入该文件夹的根目录中:
<httpProtocol>
<customHeaders>
<clear />
<add name="Access-Control-Allow-Origin" value="*" />
</customHeaders>
</httpProtocol>
请参阅:http://msdn.microsoft.com/en-us/library/ms178685.aspx 并且:http://enable-cors.org/#how-iis7
答案 2 :(得分:20)
我遇到了一个问题,浏览器拒绝提供它在cookie中传递请求时检索到的内容(例如,xhr有withCredentials=true),并且网站设置了Access-Control-Allow-Origin到*。 (Chrome中的错误是&#34;当凭据标志为true时,无法在Access-Control-Allow-Origin中使用通配符。&#34;)
在@jgauffin的答案的基础上,我创建了这个,这基本上是一种解决特定浏览器安全检查的方法,因此需要注意。
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
// We'd normally just use "*" for the allow-origin header,
// but Chrome (and perhaps others) won't allow you to use authentication if
// the header is set to "*".
// TODO: Check elsewhere to see if the origin is actually on the list of trusted domains.
var ctx = filterContext.RequestContext.HttpContext;
var origin = ctx.Request.Headers["Origin"];
var allowOrigin = !string.IsNullOrWhiteSpace(origin) ? origin : "*";
ctx.Response.AddHeader("Access-Control-Allow-Origin", allowOrigin);
ctx.Response.AddHeader("Access-Control-Allow-Headers", "*");
ctx.Response.AddHeader("Access-Control-Allow-Credentials", "true");
base.OnActionExecuting(filterContext);
}
}
答案 3 :(得分:14)
这非常简单,只需在web.config
中添加即可<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="http://localhost" />
<add name="Access-Control-Allow-Headers" value="X-AspNet-Version,X-Powered-By,Date,Server,Accept,Accept-Encoding,Accept-Language,Cache-Control,Connection,Content-Length,Content-Type,Host,Origin,Pragma,Referer,User-Agent" />
<add name="Access-Control-Allow-Methods" value="GET, PUT, POST, DELETE, OPTIONS" />
<add name="Access-Control-Max-Age" value="1000" />
</customHeaders>
</httpProtocol>
</system.webServer>
在Origin中放置了所有可以访问您的Web服务器的域, 在标头中放置任何ajax http请求可以使用的所有可能的标头, 在方法中放置您在服务器上允许的所有方法
问候:)
答案 4 :(得分:8)
有时OPTIONS动词也会导致问题
简单: 使用以下
更新您的web.config<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*" />
<add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
</customHeaders>
</httpProtocol>
</system.webServer>
使用httpGet和httpOptions
更新webservice / controller标头// GET api/Master/Sync/?version=12121
[HttpGet][HttpOptions]
public dynamic Sync(string version)
{
答案 5 :(得分:8)
WebAPI 2现在有一个CORS包,可以使用以下命令安装:
安装包Microsoft.AspNet.WebApi.Cors -pre -project WebServic
安装完成后,请按照以下步骤操作代码:http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api
答案 6 :(得分:3)
将此行添加到您的方法中,如果您使用的是API。
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "*");
答案 7 :(得分:3)
This tutorial非常有用。快速总结一下:
使用Nuget上提供的CORS包:Install-Package Microsoft.AspNet.WebApi.Cors
在WebApiConfig.cs文件中,将config.EnableCors()添加到Register()方法。
向需要处理cors的控制器添加属性:
[EnableCors(origins: "<origin address in here>", headers: "*", methods: "*")]
答案 8 :(得分:2)
start_date, end_date = date(2014, 2, 1), date(2014, 3, 31)
q = (db.session.query(
db.func.sum(Income.amount).label("total_amount"),)
# @note: any of the three below should do the job:
.filter(Income.date >= start_date).filter(Income.date <= end_date)
# .filter(Income.date.between(start_date, end_date))
# .filter(between(Income.date, start_date, end_date)) # first do: from sqlalchemy.sql.expression import between
)
答案 9 :(得分:1)
我们可以通过多种方式 访问控制公开标题。
另一种方法是我们可以在webApiconfig.cs文件中添加以下代码。
config.EnableCors(new EnableCorsAttribute(“ ”,标头:“ ”,方法:“ *”,exposedHeaders:“ TestHeaderToExpose”){SupportsCredentials = true});
或者我们可以在Global.Asax文件中添加以下代码。
protected void Application_BeginRequest()
{
if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
{
//These headers are handling the "pre-flight" OPTIONS call sent by the browser
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "*");
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Credentials", "true");
HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "http://localhost:4200");
HttpContext.Current.Response.AddHeader("Access-Control-Expose-Headers", "TestHeaderToExpose");
HttpContext.Current.Response.End();
}
}
我已经为选项写了它。请根据需要进行修改。
快乐编码!
答案 10 :(得分:1)
经过一个晚上的奋斗,我终于把这个工作了。经过一些调试后,我发现我遇到的问题是我的客户端正在发送一个所谓的预检选项请求,以检查是否允许应用程序发送带有提供的原始,方法和标头的发布请求。我不想使用Owin或APIController,所以我开始进行挖掘,并提出了仅带有ActionFilterAttribute的以下解决方案。尤其是“ Access-Control-Allow-Headers”部分非常重要,因为其中提到的标头必须与您的请求将发送的标头匹配。
using System.Linq;
using System.Web;
using System.Web.Mvc;
namespace MyNamespace
{
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
HttpRequest request = HttpContext.Current.Request;
HttpResponse response = HttpContext.Current.Response;
// check for preflight request
if (request.Headers.AllKeys.Contains("Origin") && request.HttpMethod == "OPTIONS")
{
response.AppendHeader("Access-Control-Allow-Origin", "*");
response.AppendHeader("Access-Control-Allow-Credentials", "true");
response.AppendHeader("Access-Control-Allow-Methods", "GET, PUT, POST, DELETE");
response.AppendHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, X-RequestDigest, Cache-Control, Content-Type, Accept, Access-Control-Allow-Origin, Session, odata-version");
response.End();
}
else
{
HttpContext.Current.Response.Cache.SetCacheability(HttpCacheability.NoCache);
HttpContext.Current.Response.Cache.SetNoStore();
response.AppendHeader("Access-Control-Allow-Origin", "*");
response.AppendHeader("Access-Control-Allow-Credentials", "true");
if (request.HttpMethod == "POST")
{
response.AppendHeader("Access-Control-Allow-Methods", "GET, PUT, POST, DELETE");
response.AppendHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, X-RequestDigest, Cache-Control, Content-Type, Accept, Access-Control-Allow-Origin, Session, odata-version");
}
base.OnActionExecuting(filterContext);
}
}
}
}
最后,我的MVC操作方法如下所示。重要的是还要提及Options HttpVerbs,因为否则预检请求将失败。
[AcceptVerbs(HttpVerbs.Post | HttpVerbs.Options)]
[AllowCrossSiteJson]
public async Task<ActionResult> Create(MyModel model)
{
return Json(await DoSomething(model));
}
答案 11 :(得分:0)
在Web.config中输入以下内容
<system.webServer>
<httpProtocol>
<customHeaders>
<clear />
<add name="Access-Control-Allow-Credentials" value="true" />
<add name="Access-Control-Allow-Origin" value="http://localhost:123456(etc)" />
</customHeaders>
</httpProtocol>
答案 12 :(得分:0)
如果您使用IIS,建议您尝试IIS CORS module。
易于配置,并且适用于所有类型的控制器。
以下是配置示例:
<system.webServer>
<cors enabled="true" failUnlistedOrigins="true">
<add origin="*" />
<add origin="https://*.microsoft.com"
allowCredentials="true"
maxAge="120">
<allowHeaders allowAllRequestedHeaders="true">
<add header="header1" />
<add header="header2" />
</allowHeaders>
<allowMethods>
<add method="DELETE" />
</allowMethods>
<exposeHeaders>
<add header="header1" />
<add header="header2" />
</exposeHeaders>
</add>
<add origin="http://*" allowed="false" />
</cors>
</system.webServer>
答案 13 :(得分:0)
我正在使用DotNet Core MVC,并且在与nuget包,Startup.cs,属性以及这个地方战斗了几个小时之后,我只是将其添加到了MVC操作中:
Response.Headers.Add("Access-Control-Allow-Origin", "*");
我意识到这很笨拙,但这只是我所需要的,没有其他想要添加这些标头的东西了。我希望这对其他人有帮助!
答案 14 :(得分:0)
使主要答案在 MVC 5 中起作用。
使用 System.Web.Mvc 而不是 System.Web.Http.Filters。
using System;
using System.Web.Mvc;
// using System.Web.Http.Filters;
public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
...
}