[CORS:跨域資源共享] ASP.NET Web API自身對CORS的支持: CORS授權檢驗的實施

原創 lxtql 2020-02-23 13:56

通過《EnableCorsAttribute特性背後的故事》我們知道:由CorsPolicyProvider提供的CorsPolicy表示目標Action採用的資源授權策略,ASP.NET Web API最終需要利用它對具體的跨域資源請求實施授權檢驗並生成相應的CORS響應報頭。在ASP.NET Web API的應用編程接口中,資源授權檢驗的結果通過類型CorsResult來表示。

一、CorsResult

CorsResult定義在命名空間“System.Web.Cors”下,表示資源提供者針對具體跨域資源請求進行授權檢驗得到的結果,最終寫入響應的CORS報頭均通過此對象來生成。如下面的代碼片斷所示,CorsResult依然具有與6個CORS響應報頭對應的屬性,通過其方法ToResponseHeaders方法的字典表示由此6個屬性生成的CORS相應報頭,字典對象的Key和Value分別表示報頭名稱和值。

using System;
using System.Collections.Generic;

namespace System.Web.Cors
{
    public class CorsResult
    {
        public CorsResult();

        public IList<string> AllowedExposedHeaders { get; }
        public IList<string> AllowedHeaders { get; }
        public IList<string> AllowedMethods { get; }
        public string AllowedOrigin { get; set; }
        public IList<string> ErrorMessages { get; }
        public bool IsValid { get; }
        public long? PreflightMaxAge { get; set; }
        public bool SupportsCredentials { get; set; }

        public virtual IDictionary<string, string> ToResponseHeaders();
        public override string ToString();
    }
}

CorsResult具有一個布爾類型的屬性IsValid表示請求是否通過資源授權檢驗。如果該屬性返回False(沒有通過資源授權檢驗),另一個相關的屬性ErrorMessages會提供導致檢驗失敗的原因。IsValid是一個只讀屬性,它的值取決於通過ErrorMessages屬性表示的字符串列表是否爲空。

二、CorsRequestContext

針對CORS的支持其實並不限於僅被使用在ASP.NET Web API上,用於根據提供的資源授權策略對跨域資源請求進行授權檢驗得引擎定義在程序集System.Web.Cors.dll中,定義在另一個程序集對於這些類型來說,除了CorsPolicy定義在程序集System.Web.Cors.dll,其餘的類型均定義在程序集System.Web.Http.Cors.dll中的相關類型可以視爲對這個核心CORS引擎的擴展。對於本節引入的類型來說,它具有的命名空間其實也體現了它所在的程序集。

對於ASP.NET Web API來說,CORS資源授權檢驗實施的目標是表示當請求的HttpRequestMessage對象,這個對象自然不可能使用在ASP.NET的核心CORS引擎中。對於後者,授權檢驗是針對一個System.Web.Cors.CorsRequestContext對象,它代表針對當前請求的上下文。如下面的代碼片斷所示,我們可以通過CorsRequestContext對象得到對應HTTP請求的地址(RequestUri)、主機名稱(Host)和採用的HTTP方法(HttpMethod)。

public class CorsRequestContext
{
     public Uri         RequestUri { get; set; }
     public string      Host { get; set; }
     public string      HttpMethod { get; set; }    

     public string          Origin { get; set; }
     public bool            IsPreflight { get; }
     public string          AccessControlRequestMethod { get; set; }
     public ISet<string>    AccessControlRequestHeaders { get; }

     public IDictionary<string, object> Properties { get; }
 }

CorsRequestContext的Origin屬性返回通過請求的“Origin”報頭表示的源站點。我們可以利用其IsPreflight屬性判斷HTTP請求是否爲一個預檢請求,這裏對預檢請求的判斷標準與我們前面演示實例採用的完全一致:採用HTTP-OPTIONS方法摒棄同時具有“Origin”和“Access-Control-Request-Method”報頭。

對於針對預檢請求的CorsRequestContext,我們可以通過其屬性AccessControlRequestMethod和AccessControlRequestHeaders得到請求報頭“Access-Control-Request-Method”和“Access-Control-Request-Headers”的值。通過另一個字典類型的只讀屬性Properties,我們可以將任意對象作爲屬性附加到該CorsRequestContext對象上。

三、CorsEngine

我們說ASP.NET 的核心CORS引擎定義在程序集System.Web.Cors.dll中,它主要體驗爲這個名爲CorsEngine的對象,其主要的使命在於:根據提供的資源授權策略(通過CorsPolicy類型表示)針對具體的跨域資源請求(通過CorsRequestContext類型表示)實施授權檢驗並得到相應的授權結果(通過CorsResult表示)。所有的CorsEngine類型均實現System.Web.Cors.ICorsEngine接口,如下面的代碼片斷所示,跨域資源請求的授權檢查就實現在其唯一的EvaluatePolicy方法中。

 public interface ICorsEngine
  {
      //評估策略
     CorsResult EvaluatePolicy(CorsRequestContext requestContext, CorsPolicy policy);
  }

在程序集System.Web.Cors.dll中定義了唯一的實現了ICorsEngine接口,即具有如下定義的類型System.Web.Cors.CorsEngine。如下面的代碼片斷所示,CorsEngine類型定義了3個輔助的虛方法(TryValidateOrigin、TryValidateMethod 和TryValidateHeaders)分別針對請求的源站點以及請求採用的HTTP方法和自定義報頭實施授權檢驗,其中後面兩個方法是專門爲預檢請求設計的。

 public class CorsEngine : ICorsEngine
   {
         public virtual CorsResult EvaluatePolicy(CorsRequestContext requestContext, CorsPolicy policy);

        public virtual bool TryValidateOrigin(CorsRequestContext requestContext, CorsPolicy policy, CorsResult result);
        public virtual bool TryValidateMethod(CorsRequestContext requestContext, CorsPolicy policy, CorsResult result);
        public virtual bool TryValidateHeaders(CorsRequestContext requestContext, CorsPolicy policy, CorsResult result); 
     }

CorsPolicyProviderFactory一樣,ASP.NET Web API使用的CorsEngine需要註冊到當前HttpConfiguration,註冊的CorsEngine同樣是被添加到HttpConfiguration的屬性字典之中。CorsEngine的註冊可以通過調用HttpConfiguration如下所示的擴展方法SetCorsEngine來完成。另一個擴展方法GetCorsEngine用於獲取註冊的CorsEngine,如果在調用此方法時CorsEngine尚未被註冊,一個CorsEngine對象會被創建出來並自動註冊到HttpConfiguration上。

 public static class CorsHttpConfigurationExtensions
    {
        //其他成員
         public static void SetCorsEngine(this HttpConfiguration httpConfiguration, ICorsEngine corsEngine);
        public static ICorsEngine GetCorsEngine(this HttpConfiguration httpConfiguration);
   }

本文轉載:http://www.cnblogs.com/artech/p/cors-4-asp-net-web-api-07.html

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

[CORS:跨域資源共享] 通過擴展讓ASP.NET Web API支持JSONP

同源策略(Same OriginPolicy)的存在導致了“源”自A的腳本只能操作“同源”頁面的DOM,“跨源”操作來源於B的頁面將會被拒絕。同源策略以及跨域資源共享在大部分情況下針對的是Ajax請求。同源策略主要限制了通過XM

lxtql 2020-06-21 10:21:50

webApi——通過文件流下載文件的實例

View <div class="jumbotron"> <h1>Web Api下載文件示例</h1> <p><a href="http://localhost:60560/api/download/get_dem

lxtql 2020-06-21 08:44:43

SSE簡介

SSE(Server-Sent Events)是一種用於實現服務器主動向客戶端推送數據的技術,也稱爲“事件流”(Event Stream)。它基於 HTTP 協議,利用了其長連接特性,在客戶端與服務器之間建立一條持久化連接,並通過這條連接實

原創 2024-04-19 09:31:29

webapi json返回值null替換爲空字符串

.netcore webapi json返回值序列化null替換爲空字符串 場景:數據庫中部分表字段允許空值,則代碼中實體類對應的字段類型爲可空類型Nullable<>,如int?,DateTime?,null值字段序列化返回的值都爲nu

数据的流 2020-07-02 09:42:16

解決webapi跨域問題

在webApiConfg裏添加    config.EnableCors(new System.Web.Http.Cors.EnableCorsAttribute("*", "*", "*"));   使用System.Web.Http.

11小猪会飞11 2020-06-27 22:28:43

.netcore webapi 跨域請求 SessionId不一致問題

環境爲.netcore 3.1 .netcore webapi 一般涉及到跨域和Session問題, 要使用就得先配置,首先得配置跨域和開啓Session。 在Startup中的ConfigureServices裏增加: service

xuefuruanjian 2020-06-23 21:13:45

[Web API] 如何讓 Web API 統一回傳格式以及例外處理

[Web API] 如何讓 Web API 統一回傳格式以及例外處理 前言 當我們在開發 Web API 時,一般的情況下每個 API 回傳的數據型態或格式都不盡相同,如果你的項目從頭到尾都是由你一個人獨力完成,那也許還可以說聲「

牟鹏 2020-06-23 06:17:34

webApi——自動生成幫助文檔

首先在Visual Studio中打開Web API項目的屬性頁,在 生成 設置頁,選中XML document file,輸入將要生成的XML文件放置的路徑,比如:Areas\HelpPage\WebApiHelp.XML 輸

lxtql 2020-06-21 08:44:43

O2OA(翱途)開發平臺前端安全配置建議(一)

O2OA開發平臺是一個集成了多種功能的開發環境,前端安全在其中顯得尤爲重要。前端是用戶與平臺交互的直接界面,任何安全漏洞都可能被惡意用戶利用,導致用戶數據泄露、非法操作或系統被攻擊。因此,前端安全是確保整個系統安全的第一道防線。 其次,隨着

原創 2024-03-21 22:47:41

聊一聊Spring Boot 中跨域場景

寫在前面 跨域問題我相信大多數人都遇見過,這裏我做一個簡單的總結,大體上將跨域問題進行一個簡單的介紹,以及針對SpringBoot進行跨域解決方案的說明。如果覺得寫得好有所收穫,記得點個贊及點個關注哦。 介紹跨域 跨域有個的英文簡

BoCong-Deng 2020-06-26 03:04:54

springboot解決跨域

對於前後端分離的項目來說,如果前端項目與後端項目部署在兩個不同的域名下,那麼勢必會引起跨域問題的出現。 基於WebMvcConfigurerAdapter配置加入Cors的跨域 import org.springframework.co

小码张 2020-06-20 08:43:22

Golang開發Web API服務器,echo框架集成Swagger快速開發API文檔

之前在公司用C# + ASP.Net Core開發Web API服務器中,用到Swagger這個插件來生成API文檔覺得非常方便。 於是最近在學習golang開發Web API服務器的時候想着也集成Swagger到項目中,但是在網上找了很

灬倪先森_ 2020-07-07 13:33:17

C# 請求Web Api 接口,返回的json數據直接反序列化爲實體類

需要的引用的dll類: Newtonsoft.Json.dll、System.Net.Http.dll、System.Net.Http.Formatting.dll Web Api接口爲GET形式: public static C

下一秒_待续 2020-07-02 12:01:39

SignalR QuickStart

SignalR 是一個集成的客戶端與服務器庫,基於瀏覽器的客戶端和基於 ASP.NET 的服務器組件可以藉助它來進行雙向多步對話。 換句話說,該對話可不受限制地進行單個無狀態請求/響應數據交換;它將繼續,直到明確關閉。 對話通過永久連接

yhyhyhy 2020-06-26 11:37:33

HTTPWEBREQUEST 請求帶OAUTH2 授權的WEBAPI

https://www.cnblogs.com/sjqq/p/9508099.html OAuth 2.0注意事項:  1、 獲取access_token時,請使用POST   1 private static string GetA

简单的绿竹 2020-06-21 05:55:31