116

access-control-allow-origin在我的 web.config 中,我想为指令指定多个域。我不想使用*. 我试过这种语法:

<add name="Access-Control-Allow-Origin" value="http://localhost:1506, http://localhost:1502" />

这个

<add name="Access-Control-Allow-Origin" value="http://localhost:1506 http://localhost:1502" />

这个

<add name="Access-Control-Allow-Origin" value="http://localhost:1506; http://localhost:1502" />

和这个

<add name="Access-Control-Allow-Origin" value="http://localhost:1506" />
<add name="Access-Control-Allow-Origin" value="http://localhost:1502" />

但它们都不起作用。什么是正确的语法?

4

12 回答 12

107

对于 IIS 7.5+ 和 Rewrite 2.0,您可以使用:

<system.webServer>
   <httpProtocol>
     <customHeaders>
         <add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
         <add name="Access-Control-Allow-Methods" value="POST,GET,OPTIONS,PUT,DELETE" />
     </customHeaders>
   </httpProtocol>
        <rewrite>            
            <outboundRules>
                <clear />                
                <rule name="AddCrossDomainHeader">
                    <match serverVariable="RESPONSE_Access_Control_Allow_Origin" pattern=".*" />
                    <conditions logicalGrouping="MatchAll" trackAllCaptures="true">
                        <add input="{HTTP_ORIGIN}" pattern="(http(s)?://((.+\.)?domain1\.com|(.+\.)?domain2\.com|(.+\.)?domain3\.com))" />
                    </conditions>
                    <action type="Rewrite" value="{C:0}" />
                </rule>           
            </outboundRules>
        </rewrite>
 </system.webServer>

解释服务器变量RESPONSE_Access_Control_Allow_Origin部分:
在 Rewrite 中,您可以在之后使用任何字符串RESPONSE_,它将使用单词的其余部分作为标题名称(在本例中为 Access-Control-Allow-Origin)创建响应标题。重写使用下划线“_”而不是破折号“-”(重写将它们转换为破折号)

解释服务器变量HTTP_ORIGIN
类似地,在 Rewrite 中,您可以使用任何请求标头HTTP_作为前缀。破折号的规则相同(使用下划线“_”而不是破折号“-”)。

于 2015-06-27T02:04:52.167 回答
88

只能有一个Access-Control-Allow-Origin响应标头,并且该标头只能有一个原始值。因此,为了让它工作,你需要一些代码:

  1. 获取Origin请求标头。
  2. 检查原始值是否是列入白名单的值之一。
  3. 如果有效,则Access-Control-Allow-Origin使用该值设置标头。

我认为没有任何方法可以仅通过 web.config 执行此操作。

if (ValidateRequest()) {
    Response.Headers.Remove("Access-Control-Allow-Origin");
    Response.AddHeader("Access-Control-Allow-Origin", Request.UrlReferrer.GetLeftPart(UriPartial.Authority));

    Response.Headers.Remove("Access-Control-Allow-Credentials");
    Response.AddHeader("Access-Control-Allow-Credentials", "true");

    Response.Headers.Remove("Access-Control-Allow-Methods");
    Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
}
于 2013-06-26T20:10:05.523 回答
22

在 Web.API中,可以使用http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-apiMicrosoft.AspNet.WebApi.Cors中的详细说明添加此属性

在 MVC中,您可以创建一个过滤器属性来为您完成这项工作:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method,
                AllowMultiple = true, Inherited = true)]
public class EnableCorsAttribute : FilterAttribute, IActionFilter {
    private const string IncomingOriginHeader = "Origin";
    private const string OutgoingOriginHeader = "Access-Control-Allow-Origin";
    private const string OutgoingMethodsHeader = "Access-Control-Allow-Methods";
    private const string OutgoingAgeHeader = "Access-Control-Max-Age";

    public void OnActionExecuted(ActionExecutedContext filterContext) {
        // Do nothing
    }

    public void OnActionExecuting(ActionExecutingContext filterContext)
    {
        var isLocal = filterContext.HttpContext.Request.IsLocal;
        var originHeader = 
             filterContext.HttpContext.Request.Headers.Get(IncomingOriginHeader);
        var response = filterContext.HttpContext.Response;

        if (!String.IsNullOrWhiteSpace(originHeader) &&
            (isLocal || IsAllowedOrigin(originHeader))) {
            response.AddHeader(OutgoingOriginHeader, originHeader);
            response.AddHeader(OutgoingMethodsHeader, "GET,POST,OPTIONS");
            response.AddHeader(OutgoingAgeHeader, "3600");
        }
    }

    protected bool IsAllowedOrigin(string origin) {
        // ** replace with your own logic to check the origin header
        return true;
    }
}

然后为特定的操作/控制器启用它:

[EnableCors]
public class SecurityController : Controller {
    // *snip*
    [EnableCors]
    public ActionResult SignIn(Guid key, string email, string password) {

或者为 Global.asax.cs 中的所有控制器添加它

protected void Application_Start() {
    // *Snip* any existing code

    // Register global filter
    GlobalFilters.Filters.Add(new EnableCorsAttribute());
    RegisterGlobalFilters(GlobalFilters.Filters);

    // *snip* existing code
}
于 2015-01-16T13:14:28.200 回答
5

在阅读了每个答案并尝试之后,他们都没有帮助我。我在其他地方搜索时发现,您可以创建一个自定义属性,然后将其添加到您的控制器中。它会覆盖 EnableCors 并在其中添加列入白名单的域。

此解决方案运行良好,因为它允许您在 webconfig (appsettings) 中拥有列入白名单的域,而不是在控制器的 EnableCors 属性中对它们进行编码。

 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)]
public class EnableCorsByAppSettingAttribute : Attribute, ICorsPolicyProvider
{
    const string defaultKey = "whiteListDomainCors";
    private readonly string rawOrigins;
    private CorsPolicy corsPolicy;

    /// <summary>
    /// By default uses "cors:AllowedOrigins" AppSetting key
    /// </summary>
    public EnableCorsByAppSettingAttribute()
        : this(defaultKey) // Use default AppSetting key
    {
    }

    /// <summary>
    /// Enables Cross Origin
    /// </summary>
    /// <param name="appSettingKey">AppSetting key that defines valid origins</param>
    public EnableCorsByAppSettingAttribute(string appSettingKey)
    {
        // Collect comma separated origins
        this.rawOrigins = AppSettings.whiteListDomainCors;
        this.BuildCorsPolicy();
    }

    /// <summary>
    /// Build Cors policy
    /// </summary>
    private void BuildCorsPolicy()
    {
        bool allowAnyHeader = String.IsNullOrEmpty(this.Headers) || this.Headers == "*";
        bool allowAnyMethod = String.IsNullOrEmpty(this.Methods) || this.Methods == "*";

        this.corsPolicy = new CorsPolicy
        {
            AllowAnyHeader = allowAnyHeader,
            AllowAnyMethod = allowAnyMethod,
        };

        // Add origins from app setting value
        this.corsPolicy.Origins.AddCommaSeperatedValues(this.rawOrigins);
        this.corsPolicy.Headers.AddCommaSeperatedValues(this.Headers);
        this.corsPolicy.Methods.AddCommaSeperatedValues(this.Methods);
    }

    public string Headers { get; set; }
    public string Methods { get; set; }

    public Task<CorsPolicy> GetCorsPolicyAsync(HttpRequestMessage request,
                                               CancellationToken cancellationToken)
    {
        return Task.FromResult(this.corsPolicy);
    }
}

    internal static class CollectionExtensions
{
    public static void AddCommaSeperatedValues(this ICollection<string> current, string raw)
    {
        if (current == null)
        {
            return;
        }

        var paths = new List<string>(AppSettings.whiteListDomainCors.Split(new char[] { ',' }));
        foreach (var value in paths)
        {
            current.Add(value);
        }
    }
}

我在网上找到了这个指南,它就像一个魅力:

http://jnye.co/Posts/2032/dynamic-cors-origins-from-appsettings-using-web-api-2-2-cross-origin-support

我想我会把它放在这里给有需要的人。

于 2016-11-04T19:53:56.397 回答
4

对于 IIS 7.5+,您可以使用 IIS CORS 模块:https ://www.iis.net/downloads/microsoft/iis-cors-module

你的 web.config 应该是这样的:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <cors enabled="true" failUnlistedOrigins="true">
            <add origin="http://localhost:1506">
                <allowMethods>                    
                    <add method="GET" />
                    <add method="HEAD" />
                    <add method="POST" />
                    <add method="PUT" /> 
                    <add method="DELETE" /> 
                </allowMethods>
            </add>
            <add origin="http://localhost:1502">
                <allowMethods>
                    <add method="GET" />
                    <add method="HEAD" />
                    <add method="POST" />
                    <add method="PUT" /> 
                    <add method="DELETE" /> 
                </allowMethods>
            </add>
        </cors>
    </system.webServer>
</configuration>

您可以在此处找到配置参考:https ://docs.microsoft.com/en-us/iis/extensions/cors-module/cors-module-configuration-reference

于 2020-05-21T15:00:50.240 回答
3

根据“monsur”的建议,我设法在请求处理代码中解决了这个问题。

string origin = WebOperationContext.Current.IncomingRequest.Headers.Get("Origin");

WebOperationContext.Current.OutgoingResponse.Headers.Add("Access-Control-Allow-Origin", origin);
于 2013-08-17T16:00:50.867 回答
2

查看 Thinktecture IdentityModel 库——它具有完整的 CORS 支持:

http://brockallen.com/2012/06/28/cors-support-in-webapi-mvc-and-iis-with-thinktecture-identitymodel/

它可以动态发出你想要的 ACA-Origin。

于 2013-06-27T03:44:48.517 回答
1

您可以将此代码添加到您的 asp.net webapi 项目

在文件Global.asax

    protected void Application_BeginRequest()
{
    string origin = Request.Headers.Get("Origin");
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Origin", origin);
        Response.AddHeader("Access-Control-Allow-Headers", "*");
        Response.AddHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
        Response.StatusCode = 200;
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Origin", origin);
        Response.AddHeader("Access-Control-Allow-Headers", "*");
        Response.AddHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
    }
}
于 2019-09-12T09:35:13.507 回答
1

尝试这个:

<add name="Access-Control-Allow-Origin" value="['URL1','URL2',...]" />

于 2020-10-27T11:46:27.427 回答
1

我对 CORS IIS 插件很幸运,您可以从 Microsoft下载它。它支持多个域,它允许不同的身份验证配置,并且如果你喜欢的话,它允许你只向不同的域提供 API 的子集。

您只需要在 web.config 中添加这样的部分。

  <system.webServer>
    <cors enabled="true" failUnlistedOrigins="true">
      <add origin="http://server1.com"
              allowCredentials="true"
              allowed="true"
              maxAge="120">
      </add>
      <add origin="http://server2.com"
              allowed="true"
              allowCredentials="true"
              maxAge="120">
      </add>
    </cors>
  </system.webServer>

如果您想深入了解这些选项,请查看此处。

一开始让我失望的一件事是,这与其他 web.config 调整冲突,比如Access-Control-Origin自己手动添加标题,所以只做一个或另一个;不是都。

另一件需要注意的事情是,即使您已经完美地设置了服务器,您也可能需要进行客户端调整才能真正使用它。例如,这里是 Javascript 获取方法选项,需要用于通过身份验证调用针对 CORS 服务器的方法。

fetch(url, {
       method: 'GET', // *GET, POST, PUT, DELETE, etc.
       mode: 'cors', // no-cors, *cors, same-origin
       cache: 'no-cache', // *default, no-cache, reload, force-cache, only-if-cached
       credentials: 'include', // include, *same-origin, omit
   })

祝你好运。

于 2021-03-03T16:37:26.800 回答
0

您可以使用 owin 中间件来定义 cors 策略,您可以在其中定义多个 cors 来源

return new CorsOptions
        {
            PolicyProvider = new CorsPolicyProvider
            {
                PolicyResolver = context =>
                {
                    var policy = new CorsPolicy()
                    {
                        AllowAnyOrigin = false,
                        AllowAnyMethod = true,
                        AllowAnyHeader = true,
                        SupportsCredentials = true
                    };
                    policy.Origins.Add("http://foo.com");
                    policy.Origins.Add("http://bar.com");
                    return Task.FromResult(policy);
                }
            }
        };
于 2017-08-09T09:17:28.110 回答
-3

你只需要:

  • 将 Global.asax 添加到您的项目中,
  • <add name="Access-Control-Allow-Origin" value="*" />从您的 web.config 中删除 。

  • 之后,在Application_BeginRequestGlobal.asax 的方法中添加:

    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin","*");

if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
{
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE");
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, Accept");
    HttpContext.Current.Response.End();
}

我希望这会有所帮助。那对我有用。

于 2013-07-23T23:35:33.353 回答