猿问

如何在ASP.NET MVC / WebAPI应用程序中支持HTTP OPTIONS动词

我已经从MVC 4 / Web API模板开始设置了ASP.NET Web应用程序。似乎一切运行得很好-没有我知道的问题。我已经使用Chrome和Firefox浏览了该网站。我已经使用Fiddler进行了测试,所有的响应似乎都可以赚钱。


因此,现在我继续编写一个简单的Test.aspx来使用此新的Web API。脚本的相关部分:


<script type="text/javascript">

    $(function () {


        $.ajax({

            url: "http://mywebapidomain.com/api/user",

            type: "GET",

            contentType: "json",

            success: function (data) {


                $.each(data, function (index, item) {


                    ....


                    });

                }

                );


            },

            failure: function (result) {

                alert(result.d);

            },


            error: function (XMLHttpRequest, textStatus, errorThrown) {

                alert("An error occurred, please try again. " + textStatus);

            }


        });


    });

</script>

这将生成一个REQUEST标头:


OPTIONS http://host.mywebapidomain.com/api/user HTTP/1.1

Host: host.mywebapidomain.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Origin: http://mywebapidomain.com

Access-Control-Request-Method: GET

Access-Control-Request-Headers: content-type

Connection: keep-alive

Web API照原样返回405方法不允许。


HTTP/1.1 405 Method Not Allowed

Cache-Control: no-cache

Pragma: no-cache

Content-Type: application/xml; charset=utf-8

Expires: -1

Server: Microsoft-IIS/8.0

X-AspNet-Version: 4.0.30319

X-Powered-By: ASP.NET

Date: Mon, 30 Sep 2013 13:28:12 GMT

Content-Length: 96


<Error><Message>The requested resource does not support http method 'OPTIONS'.</Message></Error>


必须有他逻辑...我不知道如何正确编码Options方法,或者控制器是否是放置代码的适当位置。(对我来说)很奇怪,当从Firefox或Chrome浏览器查看Web API站点时,它可以正确响应,但是上面的.ajax调用出错了。如何处理.ajax代码中的“预检”检查?也许我应该在客户端的.ajax逻辑上解决此问题?或者,如果由于不处理OPTIONS动词而在服务器端出现问题。


有人可以帮忙吗?这一定是一个非常普遍的问题,如果在这里得到回答,我深表歉意。我进行了搜索,但没有找到有帮助的答案。



Qyouu
浏览 708回答 3
3回答

jeck猫

正如Daniel A. White在他的评论中所说,OPTIONS请求很可能是由客户端创建的,作为跨域JavaScript请求的一部分。这是由跨源资源共享(CORS)兼容的浏览器自动完成的。该请求是初步请求或飞行前请求,在实际AJAX请求之前进行,以确定CORS支持哪些请求动词和标头。服务器可以选择不支持,不支持全部或某些HTTP动词。为了完成图片,AJAX请求具有一个附加的“ Origin”标头,该标头标识了从何处提供托管JavaScript的原始页面。服务器可以选择支持来自任何来源的请求,或者仅支持一组已知的可信来源的请求。允许任何来源都是安全风险,因为这样做会增加跨站请求伪造(CSRF)的风险。因此,您需要启用CORS。这是解释如何在ASP.Net Web API中执行此操作的链接http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api#enable-cors此处描述的实现可让您指定其他内容针对每个动作,每个控制器或全局的CORS支持支持的来源启用CORS aa控制器或全局级别时,支持的HTTP动词服务器是否支持通过跨域请求发送凭据通常,此方法可以正常工作,但您需要确保已意识到安全风险,尤其是在允许来自任何域的跨源请求的情况下。在允许这样做之前,请仔细考虑。关于哪种浏览器支持CORS,维基百科表示以下引擎支持它:壁虎1.9.1(FireFox 3.5)WebKit(Safari 4,Chrome 3)MSHTML / Trident 6(IE10),在IE8和9中部分支持普雷斯托(歌剧12)http://en.wikipedia.org/wiki/Cross-origin_resource_sharing#Browser_support

慕桂英546537

迈克·古德温(Mike Goodwin)的回答很棒,但是当我尝试使用它时,它似乎是针对MVC5 / WebApi 2.1的。Microsoft.AspNet.WebApi.Cors的依赖性在我的MVC4项目中不能很好地发挥作用。下面是使用MVC4在WebApi上启用CORS的最简单方法。请注意,我已允许所有操作,建议您将Origin限制为只希望您的API服务的客户端。允许一切都存在安全风险。Web.config:<system.webServer>&nbsp; &nbsp; <httpProtocol>&nbsp; &nbsp; &nbsp; <customHeaders>&nbsp; &nbsp; &nbsp; &nbsp; <add name="Access-Control-Allow-Origin" value="*" />&nbsp; &nbsp; &nbsp; &nbsp; <add name="Access-Control-Allow-Methods" value="GET, PUT, POST, DELETE, HEAD" />&nbsp; &nbsp; &nbsp; &nbsp; <add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />&nbsp; &nbsp; &nbsp; </customHeaders>&nbsp; &nbsp; </httpProtocol></system.webServer>BaseApiController.cs:我们这样做是为了允许使用OPTIONS http动词&nbsp;public class BaseApiController : ApiController&nbsp; {&nbsp; &nbsp; public HttpResponseMessage Options()&nbsp; &nbsp; {&nbsp; &nbsp; &nbsp; return new HttpResponseMessage { StatusCode = HttpStatusCode.OK };&nbsp; &nbsp; }&nbsp; }
随时随地看视频慕课网APP
我要回答