安科网

Asp.net Core CORS(跨域资源共享)实验

技术型吃货

技术型吃货

2018-02-28

关注 关注

环境:ASP.NET Core 2

问题

最近项目在调用远程UI时遇到点麻,在调用远程CSS文件时无法加载其中的字体文件。远程CSS文件对字体的定义:

@font-face {
    font-family: 'FontAwesome';
    src: url('../fonts/fontawesome-webfont.eot?v=4.7.0');
    …
}

浏览器没有按照预想的那样访问到远程字体资源并抛出了异常:

Asp.net Core CORS(跨域资源共享)实验

大意是CORS策略阻止了从http://localhost:2093访问http://www.*/js/font-awesome/fonts/fontawesome-webfont.woff2?v=4.7.0中字体,请求资源没有“Access-Control-Allow-Origin”报头。

根据浏览器抛出的异常信息判断,显然是和CORS策略有关,第一时间想到的是Cors中间件。修改Startup.cs 将CORS策略设定为允许所有报头,允许所有源地址,允许所有方法。

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    …
    app.UseCors(builder =>
        builder.AllowAnyHeader().AllowAnyOrigin().AllowAnyMethod());
    …
}

不幸的是上面策略并没有影响结果,访问远程字体依然报错。看来问题没这么简单。问题是由CORS策略引起,也想趁此机会也补习一下CORS相关知识,为此设计了一个小实验来加深对CORS的理解。


回顾CORS

网上已有很多文章专题介绍CORS,这里不再赘述,可以参考:

http://www.cnblogs.com/artech/p/cors-4-asp-net-web-api-02.html

http://hbin.me/blog/2015/08/17/cross-origin-resource-sharing/

CORS基本规则是:

  • 请求报头需要有Origin: http://www.foo.com,
  • 响应报头需要有Access-Control-Allow-Origin: http://www.foo.com。

来看一下CORS完整工作流程图:

Asp.net Core CORS(跨域资源共享)实验

第1步:浏览器向地址为http://localhost:1800的WebApp请求页面;

第2步:WebApp返回Html页面给浏览器;

第3步:浏览器解析页面,确定跨域资源访,浏览器按照CORS规则对跨域资源访问请求进行封装,在报头添加Origin: http://localhost:1800等;

第4步:资源服务器localhost:1900接收到请求,将收到的报头与CORS策略进行比对。符合策略则返回响应,响应报头带有Access-Control-Allow-Origin: http://localhost:1800,

最后浏览器收到响应,判断报头是否符合CORS策略,符合则显示,不符合则阻止。

通过上面流程可以看出CORS依赖于浏览器,因为是浏览器负责判断是否是跨域请求并进请求的行封装,收到响应后也是浏览器判断是否符合CORS规则并进行显示。

接下来通过一个实验来看看浏览器在CORS中的作用。


实验

环境

服务端使用WebApi http://localhost:1800/api/values暴露一个服务,作为被访问的资源。CORS策略为:

app.UseCors(builder => builder.WithOrigins("http://localhost:1900"));

准备四个不同的客户端环境:

  1. WebApp http://localhost:1900/ 上使用ajax调用http://localhost:1800/api/values
  2. WebApp http://localhost:2000/ 上使用ajax调用http://localhost:1800/api/values
  3. WebApp http://localhost:2100/ 上使用HttpClient调用http://localhost:1800/api/values
  4. 任意主机上安装 Postman

过程

首先我们在浏览器中分别访问端口号为1900、2000、2100的三个Web地址,最后使用Postman直接调用远程地址。

结果

Asp.net Core CORS(跨域资源共享)实验

1种情况完全符合CORS策略,也得到了预计中的结果。

2种情况由浏览器发起一个xhr,不符合策略因而被阻止。

3种情况虽然使用了浏览器,但发起求的是背后的HttpClientHttpClient显然不具备CORS的策略机制,它发起一个简单请求到http://localhost:1800/api/values,服务器“如实”的返回了结果,需要注意的是此时服务器CORS策略并没有生效,HttpClient收到响应并把结果呈现在页面上,整个过程都没有CORS的影子。

4种情况则完全抛开浏览器,直接使用Postman调用远程地址,其原理与HttpClient访问完全一样。


小结:

CORS策略只在浏览器+XHR的条件下才有效,它是浏览器与服务器之间协调机制,不能当作安全机制使用。

cors core asp localhost

技术型吃货

技术型吃货

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Spring API 的 CORS 测试

在开发 API 和前端的时候,最麻烦的就是一个 CORS 测试。你不知道你的 API 是否允许 CORS,也不知道是不是因为前端的原因。但是 CORS 这个跨域访问确实让人非常头疼。## 写个页面为了解决这个问题,我们用 HTML 写了个页面,这个页面可以

yiranpiaoluo 2020-11-04

Nginx解决跨域问题(CORS)

在后端服务器设置 HTTP 响应头,把你需要运行访问的域名加入加入 Access-Control-Allow-Origin中。把后端根据请求,构造 json 数据,并返回,前端用 jsonp 跨域。这两种思路,本文不展开讨论。需要说明的是,nginx 根据

yyyxxxs 2020-06-26

SSM的跨域问题解决

CORS是一个W3C标准,全称是"跨域资源共享"。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使

Chydar 2020-05-16

Nginx 设置cors跨域

在我们的开发中,经常遇到跨域,这个时候,可以通过cors来解决。在web服务器上进行设置cors 跨域,这样就不必改动代码。add_header ‘Access-Control-Allow-Methods‘ ‘GET, POST, OPTIONS‘;# C

ysmh00 2020-05-14

AWS 如何配置 Bucket 的 CORS

在 AWS 中如何配置 Bucket 的 CORS。因为我们有时候需要进行跨域访问。下面的配置参数为规则的配置参数:。如果你想对所有访问的域名都开放的话,你只需要配置一个

yuxinshuier 2020-04-21

AWS CloudFront CDN + S3 CORS 跨域访问的问题

因为上面的限制,你需要调整 CloudFront 和 S3。选择行为选项卡。如果更新 CORS 策略并将相应的标头列入白名单后仍显示错误,请尝试在分配的缓存行为中允许 OPTIONS HTTP 方法。默认情况下,CloudFront 只允许 GET 和 H

wolfjin 2020-04-21

JSONP与CORS原理与示例

", {id:2,name:‘李四‘,sex:‘男‘},JSONP只支持GET请求,不支持POST请求。JSONP的原型:创建一个回调函数,然后在远程服务上调用这个函数并且将JSON 数据形式作为参数传递,完成回调。CORS与JSONP的使用目的

fengchao000 2020-04-11

同源策略:JSONP和CORS

  同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。  但是两个源在达成共识后,需要相互传递数

somebodyoneday 2020-03-06

phpstudy nginx设置CORS跨域不起作用的可能解决方法

  今天搞了半天的跨域问题,想通过nginx配置跨域,希望以后本地调试程序都不用为这件事烦心。无非就是设置几个请求头:。但是配置半天没配好,真的是半天。。后来配好了,在此分享给大家,希望给大家一点帮助。里面,因为有反向代理!继续往下看这个文件,会看到。必须

Strongding 2020-01-14

CORS原理及@koa/cors源码解析

这是一个用于隔离潜在恶意文件的重要安全机制。这些再次印证了跨域是浏览器的限制。服务器收到预检请求以后,检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,确认

zagnix 2019-11-16

跨域解决方案-jsonp/CORS/postMessage/hash/WebSocket/proxy

浏览器会有同源策略,域名,协议,端口只要有一个不同就是跨域.同源策略只限制浏览器端,跨域请求是可以发去的,但是请求响应response被浏览器堵塞了,是限制了不同源的读,但不限制不同源的写,服务端没有同源策略这一限制,form表单可以跨域发送信息也是这个原

wenf00 2019-11-04

JSONP跨域和CORS跨域的区别

由于浏览器中的javascript的同源策略,同源策略会阻止一个域的JavaScript脚本和另一个域的内容进行交互。是跨域资源共享,它是 W3C 标准,属于跨源 AJAX 请求的根本解决方法。CORS与JSONP的使用目的相同,但是比JSONP更强大,C

baijinswpu 2019-10-31

CORS on Apache

To add the CORS authorization to the header using Apache, simply add the following line inside either the<Directory>,<L

wsd 2015-05-29

什么是同源/跨域?什么是CORS?什么是JSONP?

跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。同源又是什么呢?所谓同源是指,域名,协议,端口均相同。JSONP就可以解决跨域问题。JSONP是网页通过动态创建<script>元素向服务器发起请求

adonislu 2019-09-08

Access to XMLHttpRequest has been blocked by CORS policy: Request header field l

由于前端请求的header字段未在服务器端运行,导致请求跨域报错。

HAcSeeking 2018-11-05

spring MVC cors跨域实现源码解析

昨天前端遇到跨域问题,但是这个问题,我应该在很早就配置过,后来发现,spring boot的配置有一点改变。查找了一些资料,才发现是拦截器的顺序问题。简单说就是只要协议、IP、http方法任意一个不同就是跨域。spring MVC自4.2开始添加了跨域的支

chenchuanwen 2019-05-24

前后端分离跨域问题汇总CORS

处理了问题一,后面的ajax请求还会有401的问题,因为丢失了登录状态。

Ken专注后端技术 2019-03-29

HTML5安全:CORS(跨域资源共享)简介

我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实现了CORS。CORS系统基本上可以让服务器暴露给其它域上文件的Ajax调用。这是一个伟大的功能,我希望更多的服务能够使用它。”由此我将引入和介绍CORS,希望对大家有所帮助。

haocxy 2014-08-21

前后端分离跨域问题汇总CORS

处理了问题一,后面的ajax请求还会有401的问题,因为丢失了登录状态。

DELTALOCK 2019-03-29

Yii支持多域名cors原理

Nginx设置多域名尝试直接通过 Nginx 的add_header模块追加 Access-Control-Allow-Origin 值实现,如下:。浏览器抛出如下跨域错误:。故通过该方法不能设置多域名进行 cors。Yii2设置多域名Yii2 设置多域名

sunyu0 2019-06-29
技术型吃货

技术型吃货

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号