asp.net mvc允许单个控制器方法跨域

小渣渣

什么是Cors？

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。
它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

一、简介

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。

因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

所以简单来说Ajax不能够跨域，完全是一个浏览器行为，其实Web服务器程序（比如ASP.NET或PHP等）在默认情况下是无法辨别也不会去管到来的一个Http请求是不是一个跨域的Ajax请求，所谓的Ajax请求无法跨域完全是一个浏览器机制，是浏览器阻止了Ajax的跨域请求。而CORS正是用来解决这个问题的，W3C定制CORS标准给予了浏览器一种机制来允许Ajax的跨域请求。

二：原生js Ajax请求代码

由于不想引用jQuery，所有用js封装了一下方法，如下：

登录可见。

Ajax请求接口测试，发现会报错，如下：




三：设置某个控制器方法允许跨域

一般允许所有的控制器或者api方法跨域，在web.config文件中的 system.webServer 节点下 增加如下配置：

登录可见。

上面并不是我们想要的结果！我们想只允许某个域名访问我们某个接口跨域，我们需要定义一个特性，代码如下：

登录可见。

其中设置跨域访问权限的代码就是这一段HttpContext.Response.AppendHeader("Access-Control-Allow-Origin", origin);

我们在控制器方法上面设置特性如下：

登录可见。

我们再次发起Ajax请求，结果如下图：



可以成功访问我们其他网站的api接口资源。

（完）

小渣渣

HTTP请求方法并不是只有GET和POST，只是最常用的。据RFC2616标准（现行的HTTP/1.1）得知，通常有以下8种方法：OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT。

OPTIONS请求方法的主要用途有两个：

1、获取服务器支持的HTTP请求方法；也是黑客经常使用的方法。

2、用来检查服务器的性能。例如：AJAX进行跨域请求时的预检，需要向另外一个域名的资源发送一个HTTP OPTIONS请求头，用以判断实际发送的请求是否安全。

小渣渣

jquery.min.js:2 Cross-Origin Read Blocking (CORB) blocked cross-origin response http://192.168.252.193:2019/home/test with MIME type application/json. See https://www.chromestatus.com/feature/5629709824032768 for more details.

小渣渣

nikepeng

写的不错，学习了