ASP.NET Core 启用CORS
浏览器的安全阻止一个域的本地页面请求另外不同域的本地页面,这个限制叫同源策略,这个安全特性用来阻止恶意站点从别的网站读取数据
例如假如我有一个页面叫A.html
https://foo.example/A.html现在页面A.html有一个ajax代码尝试读取B.html的HTML的源代码,B页面位于
https://bar.otherB.html位于不同的域,由于同源策略限制,A.html不能做ajax请求,ajax调用将返回错误消息:
No ‘Access-Control-Allow-Origin’ header is present on the requested resource.W3C提供了标准来放宽同源策略,允许实现跨源资源共享(CORS),如果https://bar.other实现CORS https://foo.example/A.html能够ajax请求并读取B.html
1 CORS如何工作
站点一旦启用了CORS,Access-Control-Allow-Origin会被添加到请求的头部,请求头部将被自动设置跨域请求
因此,当一个页请求到另外一个服务器或者域名的资源,服务器的响应Access-Control-Allow-Origin值被设置
通常,这个值为*,这意味着服务器共享请求资源针对互联网上的每个域名,有时候,这个header的值将被设置为特定域名(或者域名列表),这意味着服务将共享资源仅仅针对特定域名(域列表)。
2 在ASP.NET Core中启用CORS
在启动项中添加如下代码:
builder.Services.AddCors();注意我们添加代码行使用可选AllowAnyOrigin允许每一个域能够CORS请求:
app.UseCors(builder =>
{builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader();
});下面描述了各个方法作用
AllowAnyMethod() – 允许所有HTTP方法
AllowAnyHeader() – 允许所有请求头
AllowCredentials() – 服务器必须允许凭据
如果只针对特定的域名启用CORS,像http://www.domain.com , 在这种场景下你需要修改代码如下:
app.UseCors(builder =>
{builder.WithOrigins("http://www.domain.com").AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader();
});你也可以指定多个域在下面:
app.UseCors(builder =>
{builder.WithOrigins(new string[] { "https://example1.com", "https://example2.com" }).AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader();
});3 在action或者controller上应用CORS策略
我们能定义一个或者多个CORS策略,针对策略添加CORS规则,我们将这些CORS规则应用到Controller和Action方法
下面代码定义了用户CORS策略命名为MyPolicy
var builder = WebApplication.CreateBuilder(args);
// Adding CORS Policy
builder.Services.AddCors(options =>
{options.AddPolicy("MyPolicy",builder => builder.WithOrigins("https://www.yogihosting.com"));
});
// Add services to the container.
builder.Services.AddControllersWithViews();
var app = builder.Build();
// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{app.UseExceptionHandler("/Home/Error");// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.app.UseHsts();
}
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
// Shows UseCors with named policy.
app.UseCors("MyPolicy");
app.UseAuthorization();
app.MapControllerRoute(name: "default",pattern: "{controller=Home}/{action=Index}/{id?}");
app.Run();将策略名字传递到UseCors()方法:现在将CORS策略应用到每个action或者controller
3.1 每个Action
指定CORS策略针对特定的action,在action上添加[EnableCors]特性并指定策略名称:
[EnableCors("MyPolicy")]
public IEnumerable<string> Get()
{return new string[] { "value1", "value2" };
}3.2 每个Controller
[EnableCors("MyPolicy")]
public class HomeController : Controller 在Controller和action上禁用CORS,使用[DisableCors]特性:
[DisableCors]
public string Get(int id)
{return "value";
}源代码地址:
https://github.com/bingbing-gui/Asp.Net-Core-Skill/tree/master/Fundamentals/AspNetCore.GlobalizationLocalization/AspNetCore.GlobalLocalResFiles
相关文章:
ASP.NET Core 启用CORS
浏览器的安全阻止一个域的本地页面请求另外不同域的本地页面,这个限制叫同源策略,这个安全特性用来阻止恶意站点从别的网站读取数据 例如假如我有一个页面叫A.html https://foo.example/A.html 现在页面A.html有一个ajax代码尝试读取B.html的HTML的源…...
io.lettuce.core.RedisCommandExecutionException
io.lettuce.core.RedisCommandExecutionException: ERR invalid password ERR invalid password-CSDN博客 io.lettuce.core.RedisCommandExecutionException /** Copyright 2011-2022 the original author or authors.** Licensed under the Apache License, Version 2.0 (the…...
vue3 导出数据为 excel 文件
文章目录 安装插件封装组件 -- Export2Excel.js多表封装界面使用 -- 数据处理成二维数组更多 菜鸟最近做了一个需求,就是需要上传表单并识别,然后识别出来的内容要可以修改,然后想的就是识别内容变成 form 表单,所以并没有使用 Sp…...
PyQt6简介
锋哥原创的PyQt6视频教程: 2024版 PyQt6 Python桌面开发 视频教程(无废话版) 玩命更新中~_哔哩哔哩_bilibili2024版 PyQt6 Python桌面开发 视频教程(无废话版) 玩命更新中~共计12条视频,包括:2024版 PyQt6 Python桌面开发 视频教程(无废话版…...
某60区块链安全之未初始化的存储指针实战二学习记录
系列文章目录 文章目录 系列文章目录未初始化的存储指针实战二实验目的实验环境实验工具实验原理实验内容实验过程EXP利用 未初始化的存储指针实战二 实验目的 学会使用python3的web3模块 学会分析以太坊智能合约未初始化的存储指针漏洞 找到合约漏洞进行分析并形成利用 实验…...
软件工程第十二周
软件作坊、软件危机、软件过程控制、重型控制、敏捷、DevOps 这些术语概括了软件开发历史和实践中的几个重要概念和阶段。让我们逐一解析它们: 软件作坊(Software Craftsmanship):这是软件开发的早期模式,强调个人技能…...
electron 问题记录
23年11月24 electron项目npm install 卡在一个地方不动 原因:主要是 install electron 会卡住 解决方法: # 先解决install electron卡死 npm install -g cnpm --registryhttps://registry.npmmirror.com cnpm install electron# 然后下载其他依赖 np…...
nodejs+vue+python+PHP+微信小程序-留学信息查询系统的设计与实现-安卓-计算机毕业设计
1、用户模块: 1)登录:用户注册登录账号。 2)留学查询模块:查询学校的入学申请条件、申请日期、政策变动等。 3)院校排名:查询国外各院校的实力排名。 4)测试功能:通过入学…...
JWT和Token之间的区别
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉 🍎个人主页:Leo的博客 💞当前专栏:每天一个知识点 ✨特色专栏:…...
UserRole
Qt::UserRole 是 Qt::ItemDataRole 枚举中的一个成员,用于表示自定义数据角色(Data Role)的起始值。 在 Qt 中,Qt::ItemDataRole 枚举用于标识项(Item)中不同类型的数据。这些数据角色包括 Qt::DisplayRol…...
java学习part10 this
90-面向对象(进阶)-关键字this调用属性、方法、构造器_哔哩哔哩_bilibili 1.java的this java的this性质类似cpp的this, 但它是一种引用,所以用 this. xxx来调用。 this代表当前的类的实例,所以必须和某个对象结合起来使用,不能…...
Spring Cloud + Nacos 项目启动失败【No spring.config.import property has been defined】
在 Spring Cloud 项目使用 bootstrap.yaml 配置文件,添加 nacos 等相关参数配置,启动服务抛入如下异常: org.springframework.cloud.commons.ConfigDataMissingEnvironmentPostProcessor$ImportException: No spring.config.import set ... …...
CANopen协议【SDO】
SDO: SDO是读写单个寄存器。主要用于配置伺服驱动器参数。 1 收发功能: //public unsafe struct VCI_CAN_OBJ //CAN数据帧 【单帧对象】//{// public uint ID;// 帧ID。 【11bit】数据右对齐。 详情请参照: 《8.附件1࿱…...
9-什么是迭代器,生成器,装饰器、django的信号用过吗?如何用,干过什么、什么是深拷贝,什么是浅拷贝,如何使用、slice操作符和list构造函数
1 什么是迭代器,生成器,装饰器 2 django的信号用过吗?如何用,干过什么 3 什么是深拷贝,什么是浅拷贝,如何使用 3.1 浅拷贝 3.2 深拷贝 3.3 扩展(slice操作符和list构造函数) 1 什么是迭代器,生成…...
RabbitMQ之发送者(生产者)可靠性
文章目录 前言一、生产者重试机制二、生产者确认机制实现生产者确认(1)定义ReturnCallback(2)定义ConfirmCallback 总结 前言 生产者重试机制、生产者确认机制。 一、生产者重试机制 问题:生产者发送消息时࿰…...
乐得瑞LDR6020 VR串流线方案:实现同时充电传输视频信号
VR(Virtual Reality),俗称虚拟现实技术,是一项具有巨大潜力的技术创新,正在以惊人的速度改变我们的生活方式和体验,利用专门设计的设备,如头戴式显示器(VR头盔)、手柄、定…...
【libGDX】Mesh纹理贴图
1 前言 纹理贴图的本质是将图片的纹理坐标与模型的顶点坐标建立一一映射关系。纹理坐标的 x、y 轴正方向分别朝右和朝下,如下。 2 纹理贴图 本节将使用 Mesh、ShaderProgram、Shader 实现纹理贴图,OpenGL ES 的实现见博客 → 纹理贴图。 DesktopLauncher…...
基线扫描tomcat安全加固-检查是否支持HTTPS等加密协议
背景:基线扫描时,docker镜像中的tomcat在检查是否支持HTTPS等加密协议这一项上未通过。 思路:先通过JDK自带的keytool工具生成证书,再从tomcat的server.xml配置文件中增加配置。 我不确定不同版本的JDK生成的证书是否可以通用&a…...
基于 STM32F7 和神经网络的实时人脸特征提取与匹配算法实现
本文讨论了如何使用 STM32F7 和神经网络模型来实现实时人脸特征提取与匹配算法。首先介绍了 STM32F7 的硬件和软件特点,然后讨论了人脸特征提取和匹配算法的基本原理。接下来,我们将重点讨论如何在 STM32F7 上实现基于神经网络的人脸特征提取与匹配算法&…...
Android笔记(十四):JetPack Compose中附带效应(一)
在Android应用中可以通过定义可组合函数来搭建应用界面。应用界面的更新往往是与可组合函数内部定义的状态值相关联的。当界面的状态值发生变更,会导致应用界面进行更新。在Android笔记(九):Compose组件的状态,对Compo…...
3步搞定宝可梦数据合法性验证:AutoLegalityMod终极使用指南
3步搞定宝可梦数据合法性验证:AutoLegalityMod终极使用指南 【免费下载链接】PKHeX-Plugins Plugins for PKHeX 项目地址: https://gitcode.com/gh_mirrors/pk/PKHeX-Plugins 你是否曾经花费数小时手动调整宝可梦的个体值、技能和特性,却在游戏中…...
QMCDecode:重构数字音乐自由,解锁QQ音乐加密格式的终极方案
QMCDecode:重构数字音乐自由,解锁QQ音乐加密格式的终极方案 【免费下载链接】QMCDecode QQ音乐QMC格式转换为普通格式(qmcflac转flac,qmc0,qmc3转mp3, mflac,mflac0等转flac),仅支持macOS,可自动识别到QQ音乐下载目录&…...
)
MTK平台音频配置避坑指南:从ProjectConfig.mk到DTS的完整流程(以GPIO159冲突为例)
MTK平台音频配置避坑指南:从ProjectConfig.mk到DTS的完整流程(以GPIO159冲突为例) 在MTK平台的嵌入式开发中,音频配置看似简单,实则暗藏玄机。我曾在一个量产项目中,花费整整三天时间排查音频无声问题&…...
)
手把手教你用FUSB302芯片给单片机实现PD快充(附完整C代码)
从零构建PD快充系统:FUSB302芯片实战指南 1. PD协议与FUSB302芯片基础解析 在现代电子设备快速迭代的今天,电源管理技术正经历着革命性的变化。USB Power Delivery(PD)协议作为当前最先进的快充标准之一,已经广泛应用于…...
)
AutoDL租完服务器别只用Jupyter!Pycharm远程开发全链路配置指南(从开机到跑通第一个模型)
AutoDL租完服务器别只用Jupyter!Pycharm远程开发全链路配置指南(从开机到跑通第一个模型) 当你在AutoDL上租用了强大的GPU服务器后,是否还在忍受Web版Jupyter Notebook的局限?本文将带你解锁专业开发者的终极武器——…...
)
麒麟V10离线环境生存指南:如何正确下载并安装Ubuntu deb包(附国内镜像源地址)
麒麟V10离线环境高效运维实战:deb包管理与镜像源深度解析 在政企级IT基础设施中,麒麟操作系统V10凭借其安全稳定的特性已成为关键业务系统的首选。但受限于特殊网络环境,许多运维人员常陷入"无外网如何安装软件"的困境。本文将系统…...
AssetRipper完全指南:高效提取Unity游戏资源的终极解决方案
AssetRipper完全指南:高效提取Unity游戏资源的终极解决方案 【免费下载链接】AssetRipper GUI Application to work with engine assets, asset bundles, and serialized files 项目地址: https://gitcode.com/GitHub_Trending/as/AssetRipper 想要从Unity游…...
【开发者福利】免费行政区划API实战:从adcode到城市树,构建你的地理数据核心
1. 为什么你需要这个免费行政区划API 做开发这么多年,我见过太多项目在地址选择功能上栽跟头。上周还有个做电商的朋友跟我吐槽,他们花了两周时间手动维护省市区数据,结果上线第二天就发现某个县级市行政区划调整了。这种痛,我懂。…...
服务容灾恢复方案
服务容灾恢复方案:保障业务连续性的关键 在数字化时代,企业的核心业务系统一旦中断,可能造成巨大的经济损失和声誉损害。服务容灾恢复方案正是为了应对此类风险而设计,通过技术手段确保业务在灾难发生后快速恢复,最大…...
裸金属服务器部署RKE2 Kubernetes集群构建MLOps平台实战
1. 项目概述:基于裸金属环境的RKE2 Kubernetes集群MLOps平台构建在当今数据驱动的业务环境中,机器学习模型的工业化部署已成为企业核心竞争力的关键组成部分。本文将详细记录我们在裸金属服务器上,基于Rancher RKE2 Kubernetes发行版构建完整…...