CORS是跨域资源共享标准,ASP.NET Core通过内置中间件支持;2. 需在Program.cs中注册服务、配置策略并启用中间件;3. 可全局或按控制器启用,支持自定义源、头、方法及凭据;4. 中间件自动处理预检请求,需确保策略匹配;5. 调试时检查响应头与浏览器网络日志,生产环境避免通配符。
在 ASP.NET Core 中处理跨域(CORS)是前后端分离开发中常见的需求。当浏览器发起请求的目标资源与当前页面的协议、域名或端口不一致时,就会触发跨域请求。默认情况下,浏览器出于安全考虑会阻止这类请求,除非服务器明确允许。
什么是 CORS
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种 W3C 标准,它允许服务器声明哪些外部源(如前端应用所在的域名)可以访问其资源。ASP.NET Core 提供了内置的 CORS 服务和中间件来简化这一过程。
启用 CORS 的步骤
要在 ASP.NET Core 应用中启用 CORS,需完成以下三步:
- 在 Program.cs 或 Startup.cs 中注册 CORS 服务
- 配置具体的跨域策略
- 使用中间件将策略应用到请求管道
在 Program.cs 中配置 CORS(.NET 6+)
现代 ASP.NET Core 项目使用 Program.cs 统一配置服务和中间件。以下是一个完整的配置示例:
var builder = WebApplication.CreateBuilder(args);
// 添加 CORS 服务
builder.Services.AddCors(options =>
{
options.AddPolicy("AllowSpecificOrigin",
policy =>
{
policy.WithOrigins("https://your-frontend.com", "http://localhost:3000")
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials(); // 如果需要发送 Cookie 或认证信息
});
});
builder.Services.AddControllers();
var app = builder.Build();
// 使用 CORS 中间件,并指定策略
app.UseCors("AllowSpecificOrigin");
app.UseAuthorization();
app.MapControllers();
app.Run();
常见配置选项说明
在定义 CORS 策略时,可以根据实际需求选择不同的配置方法:
-
WithOrigins(string[] origins):指定允许访问的前端地址,避免使用
AllowAnyOrigin()在生产环境 -
AllowAnyHeader():允许任意请求头,也可用
WithHeaders()指定具体头部 -
AllowAnyMethod():允许所有 HTTP 方法,也可用
WithMethods("GET", "POST")限制方法 -
AllowCredentials():允许携带凭据(如 Cookie),此时不能使用
AllowAnyOrigin()
按控制器或 Action 启用 CORS
如果不希望全局启用 CORS,可以移除 app.UseCors(),改为在控制器或方法上使用特性:
[EnableCors("AllowSpecificOrigin")]
[ApiController]
[Route("[controller]")]
public class WeatherController : ControllerBase
{
[HttpGet]
public IActionResult Get()
{
return Ok(new { message = "Hello from API" });
}
}
这种方式更灵活,适用于部分接口需要跨域、其他接口不需要的场景。
处理预检请求(Preflight)
对于复杂请求(如包含自定义头、Content-Type 为 application/json 等),浏览器会先发送一个 OPTIONS 预检请求。ASP.NET Core 的 CORS 中间件会自动响应这类请求,只要策略配置正确。
确保你的策略允许对应的 Method 和 Header,否则预检失败会导致主请求被阻止。
调试跨域问题建议
- 查看浏览器开发者工具中的 Network 面板,确认是否发出 OPTIONS 请求
- 检查响应头是否包含
Access-Control-Allow-Origin - 如果使用了
AllowCredentials,响应头不会出现Access-Control-Allow-Origin: * - 部署后测试生产环境域名是否在策略中
