206

Mam prostą metodę działania, która zwraca trochę JSON. Działa na ajax.example.com. Potrzebuję uzyskać dostęp do tego z innej witryny someothersite.com.

Jeśli spróbuję to nazwać, otrzymuję oczekiwane ...:

Origin http://someothersite.com is not allowed by Access-Control-Allow-Origin.

Znam dwa sposoby obejścia tego: JSONP i utworzenie niestandardowego HttpHandler w celu ustawienia nagłówka.

Czy nie ma prostszego sposobu?

Czy nie jest możliwe proste działanie, aby zdefiniować listę dozwolonych źródeł - lub po prostu zezwolić wszystkim? Może filtr akcji?

Optymalne byłoby ...:

return json(mydata, JsonBehaviour.IDontCareWhoAccessesMe);

— Kjensen
źródło

1

Proszę spojrzeć tutaj na vNext i MVC6: neelbhatt40.wordpress.com/2015/09/10/…

— Neel

381

Dla zwykłych kontrolerów ASP.NET MVC

Utwórz nowy atrybut

public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        filterContext.RequestContext.HttpContext.Response.AddHeader("Access-Control-Allow-Origin", "*");
        base.OnActionExecuting(filterContext);
    }
}

Oznacz swoją akcję:

[AllowCrossSiteJson]
public ActionResult YourMethod()
{
    return Json("Works better?");
}

Dla interfejsu API sieci Web ASP.NET

using System;
using System.Web.Http.Filters;

public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
    public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)
    {
        if (actionExecutedContext.Response != null)
            actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");

        base.OnActionExecuted(actionExecutedContext);
    }
}

Oznacz cały kontroler API:

[AllowCrossSiteJson]
public class ValuesController : ApiController
{

Lub indywidualne wywołania API:

[AllowCrossSiteJson]
public IEnumerable<PartViewModel> Get()
{
    ...
}

Dla Internet Explorera <= v9

IE <= 9 nie obsługuje CORS. Napisałem javascript, który automatycznie przekieruje te żądania przez serwer proxy. Wszystko jest w 100% przejrzyste (wystarczy podać mój serwer proxy i skrypt).

Pobierz go za pomocą nugetu corsproxyi postępuj zgodnie z dołączonymi instrukcjami.

Wpis na blogu | Kod źródłowy

— jgauffin
źródło

8

Niesamowity! I luv MVC + U!

— Piotr Kula,

2

pod wrażeniem elegancji tego rozwiązania

— BraveNewMath,

3

Możesz z łatwością rozszerzyć atrybut, aby zaakceptować określone pochodzenie, jeśli chcesz ograniczyć CORS do własnych domen.

— Petrus Theron

2

Powinieneś być w stanie dodać to do RegisterHttpFilters w App_Start \ FilterConfig, prawda? Spowodowałoby to zastosowanie go do wszystkich kontrolerów API w projekcie. Łącząc to z komentarzem Pate powyżej, możesz ograniczyć CORS do swojej domeny (domen) dla wszystkich kontrolerów.

— bdwakefield

9

Niedawno zaktualizowałem nasz projekt do MVC 5 i próbowałem to zrobić. Nawet dodanie nagłówka w filtrze nie działa. Kiedy przeglądam żądanie w sieci, w odpowiedzi nie ma nagłówka. Czy jest coś jeszcze, co należy zrobić, aby to zadziałało?

— Kneemin

121

Jeśli używasz IIS 7+, możesz umieścić plik web.config w katalogu głównym folderu, korzystając z tego w sekcji system.webServer:

<httpProtocol>
   <customHeaders>
      <clear />
      <add name="Access-Control-Allow-Origin" value="*" />
   </customHeaders>
</httpProtocol>

Zobacz: http://msdn.microsoft.com/en-us/library/ms178685.aspx I: http://enable-cors.org/#how-iis7

— LaundroMatt
źródło

1

Nie pamiętam już, dlaczego, ale ta metoda nie zawsze działa w IIS 7+

— LaundroMatt

Hmm Jedyny powód, dla którego mogę pomyśleć, że to nie zadziała, jeśli żądanie pochodzi z przeglądarki innej niż CORS. Ale będę kontynuować śledztwo.

— sellmeadog

29

Dzięki temu cała strona będzie przyjazna dla CORS. Jeśli ktoś chce oznaczyć tylko jedną akcję lub kontroler jako przyjazny dla CORS, wówczas zaakceptowana odpowiedź jest znacznie lepsza.

— Lev Dubinets,

1

Jeśli zobaczysz sekcję ASP.Net , zawiera ona podpowiedź : „Uwaga: to podejście jest zgodne z IIS6, IIS7 Classic Mode i IIS7 Integrated Mode”.

— dostbus

1

Podczas publikowania aplikacji w środowisku SharePoint mam do czynienia z problemem między domenami. Kiedy uruchamiam moją aplikację w środowisku lokalnym, moja aplikacja działa poprawnie, ale kiedy publikuję ją na lazurach w mojej witrynie Sharepoint, przekierowuje do strony błędów w wywołaniu formularza Ajax.Begin. Wypróbowałem to rozwiązanie, ale nie działa dla mnie. Czy jest jakaś inna alternatywa?

— Jyotsna Wadhwani,

22

Natknąłem się na problem polegający na tym, że przeglądarka odmówiła podania treści, którą pobrała, gdy żądanie przeszło w plikach cookie (np. Xhr miał swoją withCredentials=true), a witryna została Access-Control-Allow-Originustawiona *. (Błąd w Chrome brzmiał: „Nie można użyć symboli wieloznacznych w Access-Control-Allow-Origin, gdy flaga poświadczeń jest prawdziwa”).

Opierając się na odpowiedzi z @jgauffin, stworzyłem to, co jest w zasadzie sposobem obejścia tego konkretnego sprawdzenia bezpieczeństwa przeglądarki, więc zastrzegaj emptor.

public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        // We'd normally just use "*" for the allow-origin header, 
        // but Chrome (and perhaps others) won't allow you to use authentication if
        // the header is set to "*".
        // TODO: Check elsewhere to see if the origin is actually on the list of trusted domains.
        var ctx = filterContext.RequestContext.HttpContext;
        var origin = ctx.Request.Headers["Origin"];
        var allowOrigin = !string.IsNullOrWhiteSpace(origin) ? origin : "*";
        ctx.Response.AddHeader("Access-Control-Allow-Origin", allowOrigin);
        ctx.Response.AddHeader("Access-Control-Allow-Headers", "*");
        ctx.Response.AddHeader("Access-Control-Allow-Credentials", "true");
        base.OnActionExecuting(filterContext);
    }
}

— Ken Smith
źródło

To było szczególnie przydatne, dziękuję.

— cklimowski

15

To jest naprawdę proste, po prostu dodaj to w web.config

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Access-Control-Allow-Origin" value="http://localhost" />
      <add name="Access-Control-Allow-Headers" value="X-AspNet-Version,X-Powered-By,Date,Server,Accept,Accept-Encoding,Accept-Language,Cache-Control,Connection,Content-Length,Content-Type,Host,Origin,Pragma,Referer,User-Agent" />
      <add name="Access-Control-Allow-Methods" value="GET, PUT, POST, DELETE, OPTIONS" />
      <add name="Access-Control-Max-Age" value="1000" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

W Origin umieść wszystkie domeny, które mają dostęp do twojego serwera WWW, w nagłówkach umieść wszystkie możliwe nagłówki, których może użyć każde żądanie HTTP w ajax, w metodach umieść wszystkie metody, na które zezwolisz na serwerze

pozdrowienia :)

— Zvonimir Tokic
źródło

Dodanie „Autoryzacji” w nagłówkach Kontrola dostępu-Zezwalaj może być również przydatne, jeśli zamierzasz używać zapytań autoryzowanych.

— AFract

9

Czasami OPCJE czasownik również powoduje problemy

Po prostu: zaktualizuj plik web.config za pomocą następujących elementów

<system.webServer>
    <httpProtocol>
        <customHeaders>
          <add name="Access-Control-Allow-Origin" value="*" />
          <add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

I zaktualizuj nagłówki usługi internetowej / kontrolera za pomocą httpGet i httpOptions

// GET api/Master/Sync/?version=12121
        [HttpGet][HttpOptions]
        public dynamic Sync(string version) 
        {

— Bishoy Hanna
źródło

BTW, w sitefinity musisz dodać * do zaawansowanych ustawień systemu w sekcji bezpieczeństwa

— Bishoy Hanna

w jakich plikach muszę zaktualizować nagłówki kontrolera?

— user3281466,

8

WebAPI 2 ma teraz pakiet dla CORS, który można zainstalować za pomocą: Install-Package Microsoft.AspNet.WebApi.Cors -pre -project WebServic

Po zainstalowaniu postępuj zgodnie z kodem: http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api

— Tarun
źródło

5

Dodaj ten wiersz do metody, jeśli używasz interfejsu API.

HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "*");

— Gopichandar
źródło

4

Ten samouczek jest bardzo przydatny. Aby podać krótkie podsumowanie:

Skorzystaj z pakietu CORS dostępnego w Nuget: Install-Package Microsoft.AspNet.WebApi.Cors
W swoim WebApiConfig.cspliku dodaj config.EnableCors()do Register()metody.
Dodaj atrybut do kontrolerów, których potrzebujesz do obsługi corsów:

[EnableCors(origins: "<origin address in here>", headers: "*", methods: "*")]

— GrandMasterFlush
źródło

Musiałem użyć tej metody, ponieważ musiałem ustawić niestandardowy nagłówek w moim żądaniu, a metoda niestandardowego atrybutu nie działała z żądaniem przed lotem przeglądarki. Wydaje się, że działa to we wszystkich przypadkach.

— lehn0058

3

    public ActionResult ActionName(string ReqParam1, string ReqParam2, string ReqParam3, string ReqParam4)
    {
        this.ControllerContext.HttpContext.Response.Headers.Add("Access-Control-Allow-Origin","*");
         /*
                --Your code goes here --
         */
        return Json(new { ReturnData= "Data to be returned", Success=true }, JsonRequestBehavior.AllowGet);
    }

— Pranav Labhe
źródło

2

Istnieją różne sposoby przekazywania nagłówków kontroli dostępu i kontroli dostępu.

Jak wyjaśnił jgauffin, możemy utworzyć nowy atrybut.
Jak wyjaśnił LaundroMatt, możemy dodać plik web.config.
Innym sposobem jest dodanie kodu jak poniżej w pliku webApiconfig.cs.

config.EnableCors (nowe EnableCorsAttribute („ ”, nagłówki: „ ”, metody: „*”, odsłonięte nagłówki: „TestHeaderToExpose”) {SupportsCredentials = true});

Lub możemy dodać poniższy kod w pliku Global.Asax.

protected void Application_BeginRequest()
        {
            if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
            {
                //These headers are handling the "pre-flight" OPTIONS call sent by the browser
                HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
                HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "*");
                HttpContext.Current.Response.AddHeader("Access-Control-Allow-Credentials", "true");
                HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "http://localhost:4200");
                HttpContext.Current.Response.AddHeader("Access-Control-Expose-Headers", "TestHeaderToExpose");
                HttpContext.Current.Response.End();
            }
        }

Napisałem to dla opcji. Proszę zmodyfikować to samo, jak na swoje potrzeby.

Happy Coding !!

— Trilok Pathak
źródło

1

Po całym zmaganiu przez cały wieczór w końcu udało mi się to uruchomić. Po pewnym debugowaniu odkryłem, że problem, w który wchodzę, polegał na tym, że mój klient wysyłał tak zwane żądanie opcji inspekcji wstępnej, aby sprawdzić, czy aplikacja może wysłać żądanie postu z podaniem źródła, metod i nagłówków. Nie chciałem używać Owina ani kontrolera APIC, więc zacząłem kopać i wymyśliłem następujące rozwiązanie z tylko ActionFilterAttribute. Szczególnie ważna jest część „Kontrola dostępu - Zezwalaj na nagłówki”, ponieważ wspomniane tam nagłówki muszą pasować do nagłówków, które wyśle twoje zapytanie.

using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace MyNamespace
{
    public class AllowCrossSiteJsonAttribute : ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            HttpRequest request = HttpContext.Current.Request;
            HttpResponse response = HttpContext.Current.Response;

            // check for preflight request
            if (request.Headers.AllKeys.Contains("Origin") && request.HttpMethod == "OPTIONS")
            {
                response.AppendHeader("Access-Control-Allow-Origin", "*");
                response.AppendHeader("Access-Control-Allow-Credentials", "true");
                response.AppendHeader("Access-Control-Allow-Methods", "GET, PUT, POST, DELETE");
                response.AppendHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, X-RequestDigest, Cache-Control, Content-Type, Accept, Access-Control-Allow-Origin, Session, odata-version");
                response.End();
            }
            else
            {
                HttpContext.Current.Response.Cache.SetCacheability(HttpCacheability.NoCache);
                HttpContext.Current.Response.Cache.SetNoStore();

                response.AppendHeader("Access-Control-Allow-Origin", "*");
                response.AppendHeader("Access-Control-Allow-Credentials", "true");
                if (request.HttpMethod == "POST")
                {
                    response.AppendHeader("Access-Control-Allow-Methods", "GET, PUT, POST, DELETE");
                    response.AppendHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, X-RequestDigest, Cache-Control, Content-Type, Accept, Access-Control-Allow-Origin, Session, odata-version");
                }

                base.OnActionExecuting(filterContext);
            }
        }
    }
}

Wreszcie moja metoda akcji MVC wygląda następująco. Ważne jest również wspomnienie o Opcjach HttpVerbs, ponieważ w przeciwnym razie żądanie inspekcji wstępnej zakończy się niepowodzeniem.

[AcceptVerbs(HttpVerbs.Post | HttpVerbs.Options)]
[AllowCrossSiteJson]
public async Task<ActionResult> Create(MyModel model)
{
    return Json(await DoSomething(model));
}

— pkmelee337
źródło

0

W Web.config wprowadź następujące dane

<system.webServer>
<httpProtocol>
  <customHeaders>
    <clear />     
    <add name="Access-Control-Allow-Credentials" value="true" />
    <add name="Access-Control-Allow-Origin" value="http://localhost:123456(etc)" />
  </customHeaders>
</httpProtocol>

— Elvis Skensberg
źródło

0

Jeśli używasz IIS, sugeruję wypróbowanie modułu CORS IIS .
Jest łatwy w konfiguracji i działa na wszystkich typach kontrolerów.

Oto przykład konfiguracji:

    <system.webServer>
        <cors enabled="true" failUnlistedOrigins="true">
            <add origin="*" />
            <add origin="https://*.microsoft.com"
                 allowCredentials="true"
                 maxAge="120"> 
                <allowHeaders allowAllRequestedHeaders="true">
                    <add header="header1" />
                    <add header="header2" />
                </allowHeaders>
                <allowMethods>
                     <add method="DELETE" />
                </allowMethods>
                <exposeHeaders>
                    <add header="header1" />
                    <add header="header2" />
                </exposeHeaders>
            </add>
            <add origin="http://*" allowed="false" />
        </cors>
    </system.webServer>

— olsh
źródło

0

Używam DotNet Core MVC i po kilku godzinach walki z pakietami nuget, Startup.cs, atrybutami i tym miejscem, po prostu dodałem to do akcji MVC:

Response.Headers.Add("Access-Control-Allow-Origin", "*");

Zdaję sobie sprawę, że jest to dość niezręczne, ale to wszystko, czego potrzebowałem i nic więcej nie chciałem dodawać tych nagłówków. Mam nadzieję, że to pomaga komuś innemu!

— Ben Power
źródło

Ustawianie kontroli dostępu-Allow-Origin w ASP.Net MVC - najprostsza możliwa metoda