所以这是不安全的,不是我最喜欢的选择,但我只是想知道它有多大可能。有没有办法可以在 cors 请求中找到主机,以便我可以发回 Access-Control-Allow-Origin: "domain.com",其中域是使用 api 的任何域。原因是我希望能够使用本质上是通配符的“使用凭据”。
我可以让我的最终用户向我发送他们的主机名,但如果可能的话,我宁愿从请求本身中获取它。
【问题讨论】:
标签: asp.net-mvc cors asp.net-web-api hostname
有可能,假设您使用Microsoft.AspNet.WebApi.Cors 在您的 API 上启用 CORS,您需要定义自己的 Cors 策略提供程序:
public class MyApiCorsPolicy : Attribute, ICorsPolicyProvider
{
private System.Web.Cors.CorsPolicy _policy;
public MyApiCorsPolicy ()
{
// Create a CORS policy.
_policy = new System.Web.Cors.CorsPolicy
{
AllowAnyMethod = true,
AllowAnyHeader = true,
SupportsCredentials = true
};
}
public Task<System.Web.Cors.CorsPolicy> GetCorsPolicyAsync(System.Net.Http.HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
{
// Add the Request origin to the response.
_policy.Origins.Add(request.GetCorsRequestContext().Origin);
return Task.FromResult<System.Web.Cors.CorsPolicy>(_policy);
}
}
接下来,在您的 ASP.NET Web Api 配置代码中,您需要在启用 Cors 时传递此策略:
config.EnableCors(new MyApiCorsPolicy());
【讨论】: