具有多个域的访问控制允许来源

97

在我的web.config中，我想为access-control-allow-origin指令指定多个域。我不想用*。我试过这种语法：

<add name="Access-Control-Allow-Origin" value="http://localhost:1506, http://localhost:1502" />

这个

<add name="Access-Control-Allow-Origin" value="http://localhost:1506 http://localhost:1502" />

这个

<add name="Access-Control-Allow-Origin" value="http://localhost:1506; http://localhost:1502" />

还有这个

<add name="Access-Control-Allow-Origin" value="http://localhost:1506" />
<add name="Access-Control-Allow-Origin" value="http://localhost:1502" />

但它们都不起作用。正确的语法是什么？

— 山姆
source

77

只能有一个Access-Control-Allow-Origin响应标头，并且该标头只能有一个原始值。因此，为了使它起作用，您需要一些代码：

抓取Origin请求标头。
检查原始值是否为白名单值之一。
如果有效，则Access-Control-Allow-Origin使用该值设置标题。

我认为没有办法仅通过web.config来执行此操作。

if (ValidateRequest()) {
    Response.Headers.Remove("Access-Control-Allow-Origin");
    Response.AddHeader("Access-Control-Allow-Origin", Request.UrlReferrer.GetLeftPart(UriPartial.Authority));

    Response.Headers.Remove("Access-Control-Allow-Credentials");
    Response.AddHeader("Access-Control-Allow-Credentials", "true");

    Response.Headers.Remove("Access-Control-Allow-Methods");
    Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
}

— 蒙苏尔
source

2

那回答了我的问题。我不确定为什么Microsoft不允许在web.config中指定多个来源....

— 2013年

17

在哪里可以添加此代码？我有服务器生成的纯文本文件，可以通过AJAX读取，根本没有代码。在哪里可以放置代码来限制对目录中文本文件的访问？

— 哈里

3

@Simon_Weaver有一个*值，该值允许任何来源访问资源。但是，最初的问题是询问将一组域名列入白名单。

— monsur 2015年

2

由于我是ASP .NET的新手，我可以问一下如何将此代码放在ASP .NET Web API项目中的什么位置？

— 阿姆利特（Amrit）'18 -10-31

91

对于IIS 7.5+和Rewrite 2.0，可以使用：

<system.webServer>
   <httpProtocol>
     <customHeaders>
         <add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
         <add name="Access-Control-Allow-Methods" value="POST,GET,OPTIONS,PUT,DELETE" />
     </customHeaders>
   </httpProtocol>
        <rewrite>            
            <outboundRules>
                <clear />                
                <rule name="AddCrossDomainHeader">
                    <match serverVariable="RESPONSE_Access_Control_Allow_Origin" pattern=".*" />
                    <conditions logicalGrouping="MatchAll" trackAllCaptures="true">
                        <add input="{HTTP_ORIGIN}" pattern="(http(s)?://((.+\.)?domain1\.com|(.+\.)?domain2\.com|(.+\.)?domain3\.com))" />
                    </conditions>
                    <action type="Rewrite" value="{C:0}" />
                </rule>           
            </outboundRules>
        </rewrite>
 </system.webServer>

解释服务器变量RESPONSE_Access_Control_Allow_Origin部分：
在Rewrite之后RESPONSE_，您可以使用任何字符串，它将使用其余单词作为标题名称（在本例中为Access-Control-Allow-Origin）创建响应标题。重写使用下划线“ _”代替破折号“-”（重写将其转换为破折号）

解释服务器变量HTTP_ORIGIN：
类似地，在Rewrite中，您可以使用HTTP_作为前缀的任何请求标头。带有破折号的规则相同（使用下划线“ _”代替破折号“-”）。

— 帕科·扎拉特（Paco Zarate）
source

您能想到导致IIS 7.5无法使用的任何原因吗？

— Phil Ricketts

我认为应该可以。我指定了IIS 8.5版本，因为它是我对其进行测试的地方。

— Paco Zarate 2015年

4

@PacoZarate不错，一个不错的提示。要简化为正则表达式并使之更通用，可以使用- (http(s)?:\/\/((.+\.)?(domain1|domain2)\.(com|org|net)))。这样，您可以轻松添加其他域并支持多个顶级域（例如com，org，net等）。

— Merlin

4

刚刚在IIS 7.5中尝试过。似乎工作正常。

— Prescient

2

缓存有麻烦吗？调整了web.config之后，我转到的第一个网站可以正常运行，但是第二个返回的标题与第一个相同。从而导致域不匹配。

— Airn5475

20

在Web.API中，可以使用http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api中的Microsoft.AspNet.WebApi.Cors详细说明添加此属性

在MVC中，您可以创建一个filter属性来为您完成这项工作：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method,
                AllowMultiple = true, Inherited = true)]
public class EnableCorsAttribute : FilterAttribute, IActionFilter {
    private const string IncomingOriginHeader = "Origin";
    private const string OutgoingOriginHeader = "Access-Control-Allow-Origin";
    private const string OutgoingMethodsHeader = "Access-Control-Allow-Methods";
    private const string OutgoingAgeHeader = "Access-Control-Max-Age";

    public void OnActionExecuted(ActionExecutedContext filterContext) {
        // Do nothing
    }

    public void OnActionExecuting(ActionExecutingContext filterContext)
    {
        var isLocal = filterContext.HttpContext.Request.IsLocal;
        var originHeader = 
             filterContext.HttpContext.Request.Headers.Get(IncomingOriginHeader);
        var response = filterContext.HttpContext.Response;

        if (!String.IsNullOrWhiteSpace(originHeader) &&
            (isLocal || IsAllowedOrigin(originHeader))) {
            response.AddHeader(OutgoingOriginHeader, originHeader);
            response.AddHeader(OutgoingMethodsHeader, "GET,POST,OPTIONS");
            response.AddHeader(OutgoingAgeHeader, "3600");
        }
    }

    protected bool IsAllowedOrigin(string origin) {
        // ** replace with your own logic to check the origin header
        return true;
    }
}

然后针对特定操作/控制器启用它：

[EnableCors]
public class SecurityController : Controller {
    // *snip*
    [EnableCors]
    public ActionResult SignIn(Guid key, string email, string password) {

或将其添加到Global.asax.cs中的所有控制器

protected void Application_Start() {
    // *Snip* any existing code

    // Register global filter
    GlobalFilters.Filters.Add(new EnableCorsAttribute());
    RegisterGlobalFilters(GlobalFilters.Filters);

    // *snip* existing code
}

— 罗伯·丘奇
source

您知道适用于什么版本的.Net / MVC吗？

— Keab42

我已经在.net 4 / MVC 3中成功使用了它-据我所知，它应该在更高版本中工作，但是在以后的MVC版本中可能存在一种注册全局过滤器的首选方法。

— 罗布·丘奇

请仅注意其WEB API 2解决方案。但并不是Web API 1

— 萨米·一

5

阅读完所有答案并进行尝试后，没有人帮助我。我在其他地方搜索时发现，您可以创建一个自定义属性，然后将其添加到控制器中。它会覆盖EnableCors，并在其中添加白名单的域。

此解决方案运行良好，因为它使您可以在webconfig（应用程序设置）中拥有列入白名单的域，而不是在控制器的EnableCors属性中对其进行编码。

 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)]
public class EnableCorsByAppSettingAttribute : Attribute, ICorsPolicyProvider
{
    const string defaultKey = "whiteListDomainCors";
    private readonly string rawOrigins;
    private CorsPolicy corsPolicy;

    /// <summary>
    /// By default uses "cors:AllowedOrigins" AppSetting key
    /// </summary>
    public EnableCorsByAppSettingAttribute()
        : this(defaultKey) // Use default AppSetting key
    {
    }

    /// <summary>
    /// Enables Cross Origin
    /// </summary>
    /// <param name="appSettingKey">AppSetting key that defines valid origins</param>
    public EnableCorsByAppSettingAttribute(string appSettingKey)
    {
        // Collect comma separated origins
        this.rawOrigins = AppSettings.whiteListDomainCors;
        this.BuildCorsPolicy();
    }

    /// <summary>
    /// Build Cors policy
    /// </summary>
    private void BuildCorsPolicy()
    {
        bool allowAnyHeader = String.IsNullOrEmpty(this.Headers) || this.Headers == "*";
        bool allowAnyMethod = String.IsNullOrEmpty(this.Methods) || this.Methods == "*";

        this.corsPolicy = new CorsPolicy
        {
            AllowAnyHeader = allowAnyHeader,
            AllowAnyMethod = allowAnyMethod,
        };

        // Add origins from app setting value
        this.corsPolicy.Origins.AddCommaSeperatedValues(this.rawOrigins);
        this.corsPolicy.Headers.AddCommaSeperatedValues(this.Headers);
        this.corsPolicy.Methods.AddCommaSeperatedValues(this.Methods);
    }

    public string Headers { get; set; }
    public string Methods { get; set; }

    public Task<CorsPolicy> GetCorsPolicyAsync(HttpRequestMessage request,
                                               CancellationToken cancellationToken)
    {
        return Task.FromResult(this.corsPolicy);
    }
}

    internal static class CollectionExtensions
{
    public static void AddCommaSeperatedValues(this ICollection<string> current, string raw)
    {
        if (current == null)
        {
            return;
        }

        var paths = new List<string>(AppSettings.whiteListDomainCors.Split(new char[] { ',' }));
        foreach (var value in paths)
        {
            current.Add(value);
        }
    }
}

我在网上找到了该指南，它的作用像个魅力：

http://jnye.co/Posts/2032/dynamic-cors-origins-from-appsettings-using-web-api-2-2-cross-origin-support

我想我会把它丢给有需要的任何人。

— Helpha
source

这是仅链接的答案。请自行回答。

— 恢复莫妮卡

1

好的，我是新来的，这是否更像是应该的？

— Helpha

3

根据“ monsur”的建议，我设法在请求处理代码中解决了此问题。

string origin = WebOperationContext.Current.IncomingRequest.Headers.Get("Origin");

WebOperationContext.Current.OutgoingResponse.Headers.Add("Access-Control-Allow-Origin", origin);

— 班杜
source

例如，这就是在Webform中进行的方式。只需使用Request.Headers（如果可用）。并且，如果需要，请使用白名单仅过滤允许的域。

— AFract 2015年

3

这与在web.config文件中添加<add name =“ Access-Control-Allow-Origin” value =“ *” />一样好

— Isaiah4110

3

对于IIS 7.5+，您可以使用IIS CORS模块：https ://www.iis.net/downloads/microsoft/iis-cors-module

您的web.config应该是这样的：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <cors enabled="true" failUnlistedOrigins="true">
            <add origin="http://localhost:1506">
                <allowMethods>                    
                    <add method="GET" />
                    <add method="HEAD" />
                    <add method="POST" />
                    <add method="PUT" /> 
                    <add method="DELETE" /> 
                </allowMethods>
            </add>
            <add origin="http://localhost:1502">
                <allowMethods>
                    <add method="GET" />
                    <add method="HEAD" />
                    <add method="POST" />
                    <add method="PUT" /> 
                    <add method="DELETE" /> 
                </allowMethods>
            </add>
        </cors>
    </system.webServer>
</configuration>

您可以在以下位置找到配置参考：https : //docs.microsoft.com/zh-cn/iis/extensions/cors-module/cors-module-configuration-reference

— 马里奥·阿图罗（Mario Arturo）
source

如果它能像它说的那样工作，希望您3年前发布了！哇！

— Michael

2

查看Thinktecture IdentityModel库-它具有完整的CORS支持：

http://brockallen.com/2012/06/28/cors-support-in-webapi-mvc-and-iis-with-thinktecture-identitymodel/

并且它可以动态地发出您想要的ACA-Origin。

— 布罗克·艾伦
source

这似乎是一个非常有用的库。感谢您的链接。

— 2013年

1

您可以将此代码添加到asp.net webapi项目中

在文件Global.asax中

    protected void Application_BeginRequest()
{
    string origin = Request.Headers.Get("Origin");
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Origin", origin);
        Response.AddHeader("Access-Control-Allow-Headers", "*");
        Response.AddHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
        Response.StatusCode = 200;
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Origin", origin);
        Response.AddHeader("Access-Control-Allow-Headers", "*");
        Response.AddHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
    }
}

— 杰克登·王
source

0

您可以使用owin中间件来定义cors策略，在其中可以定义多个cors起源

return new CorsOptions
        {
            PolicyProvider = new CorsPolicyProvider
            {
                PolicyResolver = context =>
                {
                    var policy = new CorsPolicy()
                    {
                        AllowAnyOrigin = false,
                        AllowAnyMethod = true,
                        AllowAnyHeader = true,
                        SupportsCredentials = true
                    };
                    policy.Origins.Add("http://foo.com");
                    policy.Origins.Add("http://bar.com");
                    return Task.FromResult(policy);
                }
            }
        };

— 查延·班纳吉
source

-3

您只需要：

将Global.asax添加到您的项目中，
删除 <add name="Access-Control-Allow-Origin" value="*" />从您的web.config中。

之后，将其添加Application_BeginRequest到Global.asax方法中：

HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin","*");

if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
{
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE");
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, Accept");
    HttpContext.Current.Response.End();
}

希望对您有所帮助。对我有用。

— joanrm20
source

添加“ ...- Origin：*”的工作原理除外，除非您允许使用凭据。如果将allow-credentials设置为true，则必须指定一个域（不仅仅是*）。这就是这个问题的症结所在。否则，您可以仅指定“ ... allow-credentials：false”并完成此操作。

— 理查德