如何在 vb.net web api 项目中启用 CORS

Question

环境：Microsoft Visual Studio 2019 Community，ASP.NET v4.8 web application/web api project using VB.NET

我可以找到很多 C# 答案，但没有 vb.net 答案。我已将 CORS Nuget 包添加到我的项目中并添加了此代码（它编译并运行正常，但在 localhost 或 prod 上没有区别，即任何源域仍然可以调用 POST 方法）：

WebApiConfig.vb

Imports System
Imports System.Collections.Generic
Imports System.Linq
Imports System.Web.Http
Imports System.Web.Http.Cors

Public Module WebApiConfig
    Public Sub Register(ByVal config As HttpConfiguration)
        ' Web API configuration and services
        Dim corsAttr = New EnableCorsAttribute("http://example.com", "*", "*")
        config.EnableCors(corsAttr)

控制器：

        ' POST: api/Notification
        <EnableCors("https://www.somedomain.com", "*", "*")>
        Public Function PostValue(<FromBody()> ByVal value As Object)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Answer 1

这里是一个 CORS 控制的快速概要，在一个普通的、诚实的浏览器中，刚刚从 Mozilla/Google 的网站上新安装：

• 页面来自 acme.com
• 页面包含脚本
• 脚本需要来自 foobar.com 的数据，要求浏览器获取数据
• 浏览器首先显示“嘿 foobar.com，您将允许下载数据的网站列表是什么？”
• foobar.com 说“foobar.com 和 barbaz.com”
• 浏览器拒绝脚本的获取尝试，因为脚本是从 acme.com 提供的，而 acme.com 不在允许的站点列表中

如果 foobar.com 已将 acme.com 响应为在站点列表中，则浏览器将继续实际执行 GET

---

邮递员不关心这些；如果你让 Postman 从 foobar.com 获取数据，它会发出请求，foobar.com 可能*会提供它，然后 postman 会显示它..

_{*从技术上讲，服务器可能会拒绝提供服务，但 CORS 不是服务器端安全功能；如果被告知这样做，它依赖于体面、诚实的浏览器阻止请求}