[CORS:跨域資源共享] 通過擴展讓ASP.NET Web API支持JSONP

原創 lxtql 2020-06-21 10:21

同源策略(Same OriginPolicy)的存在導致了“源”自A的腳本只能操作“同源”頁面的DOM,“跨源”操作來源於B的頁面將會被拒絕。同源策略以及跨域資源共享在大部分情況下針對的是Ajax請求。同源策略主要限制了通過XMLHttpRequest實現的Ajax請求,如果請求的是一個“異源”地址,瀏覽器將不允許讀取返回的內容。JSONP是一種常用的解決跨域資源共享的解決方案,現在我們利用ASP.NET Web API自身的擴展性提供一種“通用”的JSONP實現方案。

一、JsonpMediaTypeFormatter

在《[CORS:跨域資源共享]
同源策略與JSONP》,我們是在具體的Action方法中將返回的JSON對象“填充”到JavaScript回調函數中,現在我們通過自定義的MediaTypeFormatter來爲JSONP提供一種更爲通用的實現方式。

我們通過繼承 JsonMediaTypeFormatter 定義瞭如下一個 JsonpMediaTypeFormatter類型。它的只讀屬性Callback代表JavaScript回調函數名稱,改屬性在構造函數中指定。在重寫的方法WriteToStreamAsync中,對於非JSONP調用(回調函數不存在),我們直接調用基類的同名方法對響應對象實施針對JSON的序列化,否則調用WriteToStream方法將對象序列化後的JSON字符串填充到JavaScript回調函數中。

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Net.Http.Formatting;
using System.Net.Http.Headers;
using System.Runtime.InteropServices;
using System.Threading.Tasks;
using System.Web;

namespace WebApi.Util
{
    public class JsonpMediaTypeFormatter : JsonMediaTypeFormatter
    {
        public string Callback { get; private set; }

        public JsonpMediaTypeFormatter(string callback = null)
        {
            this.Callback = callback;
        }

        /// <summary>
        /// 在序列化期間調用,用於將指定類型的對象寫入指定流中。
        /// </summary>
        /// <param name="type"></param>
        /// <param name="value"></param>
        /// <param name="writeStream"></param>
        /// <param name="content"></param>
        /// <param name="transportContext"></param>
        /// <returns></returns>
        public override Task WriteToStreamAsync(Type type, object value, Stream writeStream, HttpContent content, TransportContext transportContext)
        {
            if (string.IsNullOrEmpty(this.Callback))
            {
                return base.WriteToStreamAsync(type, value, writeStream, content, transportContext);
            }
            try
            {
                this.WriteToStream(type, value, writeStream, content);
                return Task.FromResult<AsyncVoid>(new AsyncVoid());
            }
            catch (Exception exception)
            {
                TaskCompletionSource<AsyncVoid> source = new TaskCompletionSource<AsyncVoid>();
                source.SetException(exception);
                return source.Task;
            }
        }

        /// <summary>
        /// 用於將指定類型的對象寫入指定流中
        /// </summary>
        /// <param name="type"></param>
        /// <param name="value"></param>
        /// <param name="writeStream"></param>
        /// <param name="content"></param>
        private void WriteToStream(Type type, object value, Stream writeStream, HttpContent content)
        {
            JsonSerializer serializer = JsonSerializer.Create(this.SerializerSettings);
            using (StreamWriter streamWriter = new StreamWriter(writeStream, this.SupportedEncodings.First()))
            using (JsonTextWriter jsonTextWriter = new JsonTextWriter(streamWriter) { CloseOutput = false })
            {
                jsonTextWriter.WriteRaw(this.Callback + "(");
                serializer.Serialize(jsonTextWriter, value);
                jsonTextWriter.WriteRaw(")");
            }
        }

        /// <summary>
        ///  返回可以爲給定參數設置響應格式的 System.Net.Http.Formatting.MediaTypeFormatter 專用實例。
        /// </summary>
        /// <param name="type"></param>
        /// <param name="request"></param>
        /// <param name="mediaType"></param>
        /// <returns></returns>
        public override MediaTypeFormatter GetPerRequestFormatterInstance(Type type, HttpRequestMessage request, MediaTypeHeaderValue mediaType)
        {
            if (request.Method != HttpMethod.Get)
            {
                return this;
            }
            string callback;
            if (request.GetQueryNameValuePairs().ToDictionary(pair => pair.Key,
                 pair => pair.Value).TryGetValue("callback", out callback))
            {
                return new JsonpMediaTypeFormatter(callback);
            }
            return this;
        }

        [StructLayout(LayoutKind.Sequential, Size = 1)]
        private struct AsyncVoid
        { }
    }

}

我們重寫了GetPerRequestFormatterInstance方法,在默認情況下,當ASP.NET WebAPI採用內容協商機制選擇出與當前請求相匹配的MediaTypeFormatter後,會調用此方法來創建真正用於序列化響應結果的MediaTypeFormatter對象。在重寫的這個GetPerRequestFormatterInstance方法中,我們嘗試從請求的URL中得到攜帶的JavaScript回調函數名稱,即一個名爲“callback”的查詢字符串。如果回調函數名不存在,則直接返回自身,否則返回據此創建的JsonpMediaTypeFormatter對象。

二、將JsonpMediaTypeFormatter的應用到ASP.NET Web API中

接下來我們通過於一個簡單的實例來演示同源策略針對跨域Ajax請求的限制。如圖右圖所示,我們利用VisualStudio在同一個解決方案中創建了兩個Web應用。從項目名稱可以看出,WebApi和MvcApp分別爲ASP.NET Web API和MVC應用,後者是Web API的調用者。我們直接採用默認的IIS Express作爲兩個應用的宿主,並且固定了端口號:WebApi和MvcApp的端口號分別爲“3721”和“9527”,所以指向兩個應用的URI肯定不可能是同源的。

我們在WebApi應用中定義瞭如下一個繼承自ApiController的ContactsController類型,它具有的唯一Action方法GetAllContacts返回一組聯繫人列表。

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Text;
using System.Web.Http;
using Newtonsoft;
using Newtonsoft.Json;

namespace WebApi.Controllers
{
    public class ContactsController : ApiController
    {
        public IEnumerable<Contact> GetAllContacts()
        {
            Contact[] contacts = new Contact[]
            {
                new Contact{ Name="張三", PhoneNo="123", EmailAddress="[email protected]"},
                new Contact{ Name="李四", PhoneNo="456", EmailAddress="[email protected]"},
                new Contact{ Name="王五", PhoneNo="789", EmailAddress="[email protected]"},
            };
            return contacts;
        }
    }

    public class Contact
    {
        public string Name { get; set; }
        public string PhoneNo { get; set; }
        public string EmailAddress { get; set; }
    }
}

現在我們在WebApi應用的Global.asax中利用如下的程序創建這個JsonpMediaTypeFormatter對象並添加當前註冊的MediaTypeFormatter列表中。爲了讓它被優先選擇,我們將這個JsonpMediaTypeFormatter對象放在此列表的最前端。

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Http;
using System.Web.Mvc;
using System.Web.Optimization;
using System.Web.Routing;
using WebApi.Util;

namespace WebApi
{
    public class WebApiApplication : System.Web.HttpApplication
    {
        protected void Application_Start()
        {
             GlobalConfiguration.Configuration.Formatters.Insert(0, new JsonpMediaTypeFormatter ());
            //其他操作

            AreaRegistration.RegisterAllAreas();
            GlobalConfiguration.Configure(WebApiConfig.Register);
            FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
            RouteConfig.RegisterRoutes(RouteTable.Routes);
            BundleConfig.RegisterBundles(BundleTable.Bundles);
        }
    }
}

接下來們在MvcApp應用中定義如下一個HomeController,默認的Action方法Index會將對應的View呈現出來。

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace MvcApp.Controllers
{
    public class HomeController : Controller
    {
        // GET: Home
        public ActionResult Index()
        {
            return View();
        }
    }
}

如下所示的是Action方法Index對應View的定義。我們的目的在於:當頁面成功加載之後以Ajax請求的形式調用上面定義的Web API獲取聯繫人列表,並將自呈現在頁面上。如下面的代碼片斷所示,我們直接調用$.ajax方法並將dataType參數設置爲“jsonp”。

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <title></title>
    <script src="Scripts/jquery-1.10.2.min.js"></script>
</head>

<body>
    <ul id="contacts"></ul>
    <script type="text/javascript">
        $(function () {
            $.ajax({
                Type: "GET",
                url: "http://localhost:3721/api/contacts",
                dataType: "jsonp",
                success: listContacts
            });
        });

        function listContacts(contacts) {
            $.each(contacts, function (index, contact) {
                var html = "<li><ul>";
                html += "<li>Name: " + contact.Name + "</li>";
                html += "<li>Phone No:" + contact.PhoneNo + "</li>";
                html += "<li>Email Address: " + contact.EmailAddress + "</li>";
                html += "</ul>";
                $("#contacts").append($(html));
            });
        }
    </script>

</body>

</html>

直接運行該ASP.NET MVC程序之後,會得到如下圖所示的輸出結果,通過跨域調用Web API獲得的聯繫人列表正常地顯示出來。

這裏寫圖片描述

三、針對JSONP的請求和響應

如下所示的針對JSONP的Ajax請求和響應內容。可以看到請求的URL中通過查詢字符串“callback”提供了JavaScript回調函數的名稱,而響應的主體部分不是單純的JSON對象,而是將JSON對象填充到回調返回中而生成的一個函數調用語句。

這裏寫圖片描述

1: GET http://localhost:3721/api/contacts?callback=jQuery110205729522893670946_1386232694513 &_=1386232694514 HTTP/1.1
2: Host: localhost:3721
3: Connection: keep-alive
4: Accept: */*
5: User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36
6: Referer: http://localhost:9527/
7: Accept-Encoding: gzip,deflate,sdch
8:  
9: HTTP/1.1 200 OK
10: Cache-Control: no-cache
11: Pragma: no-cache
12: Content-Type: application/json; charset=utf-8
13: Expires: -1
14: Server: Microsoft-IIS/8.0
15: X-AspNet-Version: 4.0.30319
16: X-SourceFiles: =?UTF-8?B?RTpc5oiR55qE6JGX5L2cXEFTUC5ORVQgV2ViIEFQSeahhuaetuaPreenmFxOZXcgU2FtcGxlc1xDaGFwdGVyIDE0XFMxNDAzXFdlYkFwaVxhcGlcY29ud?=
17: X-Powered-By: ASP.NET
18: Date: Thu, 05 Dec 2013 08:38:15 GMT
19: Content-Length: 248
20:  
21: jQuery110205729522893670946_1386232694513([{"Name":"三","PhoneNo":"123","EmailAddress":"[email protected]"},{"Name":"四","PhoneNo":"456","EmailAddress":"[email protected]"},{"Name":"王五","PhoneNo":"789","EmailAddress":[email protected]}])

本文轉載:http://www.cnblogs.com/artech/p/cors-4-asp-net-web-api-03.html

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

O2OA(翱途)開發平臺前端安全配置建議(一)

O2OA開發平臺是一個集成了多種功能的開發環境,前端安全在其中顯得尤爲重要。前端是用戶與平臺交互的直接界面,任何安全漏洞都可能被惡意用戶利用,導致用戶數據泄露、非法操作或系統被攻擊。因此,前端安全是確保整個系統安全的第一道防線。 其次,隨着

原創 2024-03-21 22:47:41

聊一聊Spring Boot 中跨域場景

寫在前面 跨域問題我相信大多數人都遇見過,這裏我做一個簡單的總結,大體上將跨域問題進行一個簡單的介紹,以及針對SpringBoot進行跨域解決方案的說明。如果覺得寫得好有所收穫,記得點個贊及點個關注哦。 介紹跨域 跨域有個的英文簡

BoCong-Deng 2020-06-26 03:04:54

springboot解決跨域

對於前後端分離的項目來說,如果前端項目與後端項目部署在兩個不同的域名下,那麼勢必會引起跨域問題的出現。 基於WebMvcConfigurerAdapter配置加入Cors的跨域 import org.springframework.co

小码张 2020-06-20 08:43:22

嘗試從REST API獲取數據時,請求的資源上沒有“ Access-Control-Allow-Origin”標頭

本文翻譯自:No 'Access-Control-Allow-Origin' header is present on the requested resource—when trying to get data from a REST

xfxf996 2020-06-16 09:28:36

SSE簡介

SSE(Server-Sent Events)是一種用於實現服務器主動向客戶端推送數據的技術,也稱爲“事件流”(Event Stream)。它基於 HTTP 協議,利用了其長連接特性,在客戶端與服務器之間建立一條持久化連接,並通過這條連接實

原創 2024-04-19 09:31:29

webapi json返回值null替換爲空字符串

.netcore webapi json返回值序列化null替換爲空字符串 場景:數據庫中部分表字段允許空值,則代碼中實體類對應的字段類型爲可空類型Nullable<>,如int?,DateTime?,null值字段序列化返回的值都爲nu

数据的流 2020-07-02 09:42:16

解決webapi跨域問題

在webApiConfg裏添加    config.EnableCors(new System.Web.Http.Cors.EnableCorsAttribute("*", "*", "*"));   使用System.Web.Http.

11小猪会飞11 2020-06-27 22:28:43

.netcore webapi 跨域請求 SessionId不一致問題

環境爲.netcore 3.1 .netcore webapi 一般涉及到跨域和Session問題, 要使用就得先配置,首先得配置跨域和開啓Session。 在Startup中的ConfigureServices裏增加: service

xuefuruanjian 2020-06-23 21:13:45

[Web API] 如何讓 Web API 統一回傳格式以及例外處理

[Web API] 如何讓 Web API 統一回傳格式以及例外處理 前言 當我們在開發 Web API 時,一般的情況下每個 API 回傳的數據型態或格式都不盡相同,如果你的項目從頭到尾都是由你一個人獨力完成,那也許還可以說聲「

牟鹏 2020-06-23 06:17:34

webApi——通過文件流下載文件的實例

View <div class="jumbotron"> <h1>Web Api下載文件示例</h1> <p><a href="http://localhost:60560/api/download/get_dem

lxtql 2020-06-21 08:44:43

webApi——自動生成幫助文檔

首先在Visual Studio中打開Web API項目的屬性頁,在 生成 設置頁,選中XML document file,輸入將要生成的XML文件放置的路徑,比如:Areas\HelpPage\WebApiHelp.XML 輸

lxtql 2020-06-21 08:44:43

mvc webapi跨域問題解決

1,跨域產生的原因這裏就不多說了,直接上操作 在webapi項目中安裝一個擴展包。是微軟官方的。 打開nuget管理器 搜索這個關鍵字Microsoft.AspNet.WebApi.Cors,如下圖 2,修改WebApiConfig這個

还有远方和田野 2020-06-20 05:12:53

webapi使用JWT進行授權認證

1,在asp.net mvc 中常用的是 Cooke+Session 或者 form 認證(實際也是Cooke)的方式,當然都是mvc中在 webapi中也是可以使用的,那麼上面的兩種方式這裏就不多寫了,後面有時間寫,今天最主要是 JWT

还有远方和田野 2020-06-20 04:04:58

.net中WebApi跨域Session爲null的問題

前言: 這幾天用webapi做後臺的數據接口,session一直爲null,之前跳過這個坑,今天這方面的業務的時候忘了咋解決的了,自己又弄了好久才解決。今天寫個博客記錄一下。 問題描述: 由於Net中的webapi是默認不開啓的,我們想要

小灰灰城堡 2020-06-18 21:48:01

轉基於.Net的單點登錄(SSO)解決方案

轉基於.Net的單點登錄(SSO)解決方案       前些天一位朋友要我幫忙做一單點登錄,其實這個概念早已耳熟能詳,但實際應用很少,難得最近輕閒,於是決定通過本文來詳細描述一個SSO解決方案,希望對大家有所幫助。SSO的解決

duo002 2020-06-16 15:24:56