[CORS:跨域资源共享] ASP.NET Web API自身对CORS的支持: CORS授权检验的实施

原創 lxtql 2020-02-23 13:56

通过《EnableCorsAttribute特性背后的故事》我们知道:由CorsPolicyProvider提供的CorsPolicy表示目标Action采用的资源授权策略,ASP.NET Web API最终需要利用它对具体的跨域资源请求实施授权检验并生成相应的CORS响应报头。在ASP.NET Web API的应用编程接口中,资源授权检验的结果通过类型CorsResult来表示。

一、CorsResult

CorsResult定义在命名空间“System.Web.Cors”下,表示资源提供者针对具体跨域资源请求进行授权检验得到的结果,最终写入响应的CORS报头均通过此对象来生成。如下面的代码片断所示,CorsResult依然具有与6个CORS响应报头对应的属性,通过其方法ToResponseHeaders方法的字典表示由此6个属性生成的CORS相应报头,字典对象的Key和Value分别表示报头名称和值。

using System;
using System.Collections.Generic;

namespace System.Web.Cors
{
    public class CorsResult
    {
        public CorsResult();

        public IList<string> AllowedExposedHeaders { get; }
        public IList<string> AllowedHeaders { get; }
        public IList<string> AllowedMethods { get; }
        public string AllowedOrigin { get; set; }
        public IList<string> ErrorMessages { get; }
        public bool IsValid { get; }
        public long? PreflightMaxAge { get; set; }
        public bool SupportsCredentials { get; set; }

        public virtual IDictionary<string, string> ToResponseHeaders();
        public override string ToString();
    }
}

CorsResult具有一个布尔类型的属性IsValid表示请求是否通过资源授权检验。如果该属性返回False(没有通过资源授权检验),另一个相关的属性ErrorMessages会提供导致检验失败的原因。IsValid是一个只读属性,它的值取决于通过ErrorMessages属性表示的字符串列表是否为空。

二、CorsRequestContext

针对CORS的支持其实并不限于仅被使用在ASP.NET Web API上,用于根据提供的资源授权策略对跨域资源请求进行授权检验得引擎定义在程序集System.Web.Cors.dll中,定义在另一个程序集对于这些类型来说,除了CorsPolicy定义在程序集System.Web.Cors.dll,其余的类型均定义在程序集System.Web.Http.Cors.dll中的相关类型可以视为对这个核心CORS引擎的扩展。对于本节引入的类型来说,它具有的命名空间其实也体现了它所在的程序集。

对于ASP.NET Web API来说,CORS资源授权检验实施的目标是表示当请求的HttpRequestMessage对象,这个对象自然不可能使用在ASP.NET的核心CORS引擎中。对于后者,授权检验是针对一个System.Web.Cors.CorsRequestContext对象,它代表针对当前请求的上下文。如下面的代码片断所示,我们可以通过CorsRequestContext对象得到对应HTTP请求的地址(RequestUri)、主机名称(Host)和采用的HTTP方法(HttpMethod)。

public class CorsRequestContext
{
     public Uri         RequestUri { get; set; }
     public string      Host { get; set; }
     public string      HttpMethod { get; set; }    

     public string          Origin { get; set; }
     public bool            IsPreflight { get; }
     public string          AccessControlRequestMethod { get; set; }
     public ISet<string>    AccessControlRequestHeaders { get; }

     public IDictionary<string, object> Properties { get; }
 }

CorsRequestContext的Origin属性返回通过请求的“Origin”报头表示的源站点。我们可以利用其IsPreflight属性判断HTTP请求是否为一个预检请求,这里对预检请求的判断标准与我们前面演示实例采用的完全一致:采用HTTP-OPTIONS方法摒弃同时具有“Origin”和“Access-Control-Request-Method”报头。

对于针对预检请求的CorsRequestContext,我们可以通过其属性AccessControlRequestMethod和AccessControlRequestHeaders得到请求报头“Access-Control-Request-Method”和“Access-Control-Request-Headers”的值。通过另一个字典类型的只读属性Properties,我们可以将任意对象作为属性附加到该CorsRequestContext对象上。

三、CorsEngine

我们说ASP.NET 的核心CORS引擎定义在程序集System.Web.Cors.dll中,它主要体验为这个名为CorsEngine的对象,其主要的使命在于:根据提供的资源授权策略(通过CorsPolicy类型表示)针对具体的跨域资源请求(通过CorsRequestContext类型表示)实施授权检验并得到相应的授权结果(通过CorsResult表示)。所有的CorsEngine类型均实现System.Web.Cors.ICorsEngine接口,如下面的代码片断所示,跨域资源请求的授权检查就实现在其唯一的EvaluatePolicy方法中。

 public interface ICorsEngine
  {
      //评估策略
     CorsResult EvaluatePolicy(CorsRequestContext requestContext, CorsPolicy policy);
  }

在程序集System.Web.Cors.dll中定义了唯一的实现了ICorsEngine接口,即具有如下定义的类型System.Web.Cors.CorsEngine。如下面的代码片断所示,CorsEngine类型定义了3个辅助的虚方法(TryValidateOrigin、TryValidateMethod 和TryValidateHeaders)分别针对请求的源站点以及请求采用的HTTP方法和自定义报头实施授权检验,其中后面两个方法是专门为预检请求设计的。

 public class CorsEngine : ICorsEngine
   {
         public virtual CorsResult EvaluatePolicy(CorsRequestContext requestContext, CorsPolicy policy);

        public virtual bool TryValidateOrigin(CorsRequestContext requestContext, CorsPolicy policy, CorsResult result);
        public virtual bool TryValidateMethod(CorsRequestContext requestContext, CorsPolicy policy, CorsResult result);
        public virtual bool TryValidateHeaders(CorsRequestContext requestContext, CorsPolicy policy, CorsResult result); 
     }

CorsPolicyProviderFactory一样,ASP.NET Web API使用的CorsEngine需要注册到当前HttpConfiguration,注册的CorsEngine同样是被添加到HttpConfiguration的属性字典之中。CorsEngine的注册可以通过调用HttpConfiguration如下所示的扩展方法SetCorsEngine来完成。另一个扩展方法GetCorsEngine用于获取注册的CorsEngine,如果在调用此方法时CorsEngine尚未被注册,一个CorsEngine对象会被创建出来并自动注册到HttpConfiguration上。

 public static class CorsHttpConfigurationExtensions
    {
        //其他成员
         public static void SetCorsEngine(this HttpConfiguration httpConfiguration, ICorsEngine corsEngine);
        public static ICorsEngine GetCorsEngine(this HttpConfiguration httpConfiguration);
   }

本文转载:http://www.cnblogs.com/artech/p/cors-4-asp-net-web-api-07.html

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

[CORS:跨域资源共享] 通过扩展让ASP.NET Web API支持JSONP

同源策略(Same OriginPolicy)的存在導致了“源”自A的腳本只能操作“同源”頁面的DOM,“跨源”操作來源於B的頁面將會被拒絕。同源策略以及跨域資源共享在大部分情況下針對的是Ajax請求。同源策略主要限制了通過XM

lxtql 2020-06-21 10:21:50

webApi——通过文件流下载文件的实例

View <div class="jumbotron"> <h1>Web Api下載文件示例</h1> <p><a href="http://localhost:60560/api/download/get_dem

lxtql 2020-06-21 08:44:43

SSE简介

SSE(Server-Sent Events)是一種用於實現服務器主動向客戶端推送數據的技術,也稱爲“事件流”(Event Stream)。它基於 HTTP 協議,利用了其長連接特性,在客戶端與服務器之間建立一條持久化連接,並通過這條連接實

原創 2024-04-19 09:31:29

webapi json返回值null替换为空字符串

.netcore webapi json返回值序列化null替換爲空字符串 場景:數據庫中部分表字段允許空值,則代碼中實體類對應的字段類型爲可空類型Nullable<>,如int?,DateTime?,null值字段序列化返回的值都爲nu

数据的流 2020-07-02 09:42:16

解决webapi跨域问题

在webApiConfg裏添加    config.EnableCors(new System.Web.Http.Cors.EnableCorsAttribute("*", "*", "*"));   使用System.Web.Http.

11小猪会飞11 2020-06-27 22:28:43

.netcore webapi 跨域请求 SessionId不一致问题

環境爲.netcore 3.1 .netcore webapi 一般涉及到跨域和Session問題, 要使用就得先配置,首先得配置跨域和開啓Session。 在Startup中的ConfigureServices裏增加: service

xuefuruanjian 2020-06-23 21:13:45

[Web API] 如何让 Web API 统一回传格式以及例外处理

[Web API] 如何讓 Web API 統一回傳格式以及例外處理 前言 當我們在開發 Web API 時,一般的情況下每個 API 回傳的數據型態或格式都不盡相同,如果你的項目從頭到尾都是由你一個人獨力完成,那也許還可以說聲「

牟鹏 2020-06-23 06:17:34

webApi——自动生成帮助文档

首先在Visual Studio中打開Web API項目的屬性頁,在 生成 設置頁,選中XML document file,輸入將要生成的XML文件放置的路徑,比如:Areas\HelpPage\WebApiHelp.XML 輸

lxtql 2020-06-21 08:44:43

O2OA(翱途)开发平台前端安全配置建议(一)

O2OA開發平臺是一個集成了多種功能的開發環境,前端安全在其中顯得尤爲重要。前端是用戶與平臺交互的直接界面,任何安全漏洞都可能被惡意用戶利用,導致用戶數據泄露、非法操作或系統被攻擊。因此,前端安全是確保整個系統安全的第一道防線。 其次,隨着

原創 2024-03-21 22:47:41

聊一聊Spring Boot 中跨域场景

寫在前面 跨域問題我相信大多數人都遇見過,這裏我做一個簡單的總結,大體上將跨域問題進行一個簡單的介紹,以及針對SpringBoot進行跨域解決方案的說明。如果覺得寫得好有所收穫,記得點個贊及點個關注哦。 介紹跨域 跨域有個的英文簡

BoCong-Deng 2020-06-26 03:04:54

springboot解决跨域

對於前後端分離的項目來說,如果前端項目與後端項目部署在兩個不同的域名下,那麼勢必會引起跨域問題的出現。 基於WebMvcConfigurerAdapter配置加入Cors的跨域 import org.springframework.co

小码张 2020-06-20 08:43:22

Golang开发Web API服务器,echo框架集成Swagger快速开发API文档

之前在公司用C# + ASP.Net Core開發Web API服務器中,用到Swagger這個插件來生成API文檔覺得非常方便。 於是最近在學習golang開發Web API服務器的時候想着也集成Swagger到項目中,但是在網上找了很

灬倪先森_ 2020-07-07 13:33:17

C# 请求Web Api 接口,返回的json数据直接反序列化为实体类

需要的引用的dll類: Newtonsoft.Json.dll、System.Net.Http.dll、System.Net.Http.Formatting.dll Web Api接口爲GET形式: public static C

下一秒_待续 2020-07-02 12:01:39

SignalR QuickStart

SignalR 是一個集成的客戶端與服務器庫,基於瀏覽器的客戶端和基於 ASP.NET 的服務器組件可以藉助它來進行雙向多步對話。 換句話說,該對話可不受限制地進行單個無狀態請求/響應數據交換;它將繼續,直到明確關閉。 對話通過永久連接

yhyhyhy 2020-06-26 11:37:33

HTTPWEBREQUEST 请求带OAUTH2 授权的WEBAPI

https://www.cnblogs.com/sjqq/p/9508099.html OAuth 2.0注意事項:  1、 獲取access_token時,請使用POST   1 private static string GetA

简单的绿竹 2020-06-21 05:55:31