答案:.NET Core通过AddCors注册策略并UseCors启用中间件处理跨域,支持默认、命名策略及特性粒度控制,开发环境可宽松配置,生产环境需限制权限以保障安全。
.NET Core Web API 处理跨域(CORS)问题非常常见,尤其是在前端应用(如 Vue、React、Angular)与后端 API 分离部署时。浏览器出于安全考虑,默认禁止跨域请求,因此需要在服务端显式配置 CORS 策略。
启用 CORS 的基本步骤
在 .NET Core 中,处理 CORS 需要两个关键步骤:注册 CORS 服务和使用中间件。
在 Program.cs(.NET 6 及以上版本)中添加以下代码:
var builder = WebApplication.CreateBuilder(args);
// 添加 CORS 服务
builder.Services.AddCors(options =>
{
options.AddDefaultPolicy(policy =>
{
policy.WithOrigins("https://your-frontend.com") // 允许的前端域名
.AllowAnyHeader()
.AllowAnyMethod();
});
});
// 注册其他服务...
var app = builder.Build();
// 启用 CORS 中间件
app.UseCors();
配置不同的 CORS 策略
你可以定义多个命名策略,适用于不同场景。
builder.Services.AddCors(options =>
{
options.AddPolicy("AllowLocalFrontend", policy =>
{
policy.WithOrigins("http://localhost:3000")
.AllowAnyHeader()
.AllowAnyMethod();
});
options.AddPolicy("ProductionFrontend", policy =>
{
policy.WithOrigins("https://example.com")
.WithHeaders("Authorization", "Content-Type")
.WithMethods("GET", "POST");
});
});
使用时通过名称指定:
app.UseCors("AllowLocalFrontend");
允许任意跨域请求(仅开发环境)
开发阶段为了方便调试,可以临时允许所有跨域请求:
policy.AllowAnyOrigin()
.AllowAnyHeader()
.AllowAnyMethod();
注意:生产环境中避免使用 AllowAnyOrigin 和 AllowAnyMethod,存在安全风险。
控制器或方法级别启用 CORS
如果只想对特定控制器或 Action 启用 CORS,可以在类或方法上加特性:
[EnableCors("AllowLocalFrontend")]
public class WeatherController : ControllerBase
或者关闭某个方法的 CORS:
[DisableCors]
[HttpGet("no-cors")]
public IActionResult NoCors() => Ok();
基本上就这些。只要正确配置策略并启用中间件,.NET Core 就能顺利处理跨域请求。关键是根据环境选择合适的策略粒度,开发时可宽松,上线前务必收紧权限。
