猿问

回到首页 个人中心 反馈问题 注册登录
下载APP
首页 课程 实战 体系课 手记 专栏 慕课教程

处理对ASP.NET MVC操作的CORS预检请求

我正在尝试对ASP.NET MVC控制器操作执行跨域POST请求。该控制器动作接受并使用各种参数。问题在于,当发生预检请求时,控制器操作实际上会尝试执行&,因为OPTIONS请求没有传递任何数据,所以控制器操作会抛出500 HTTP错误。如果删除使用该参数或参数本身的代码,则整个请求链将成功完成。


如何实现此示例:


控制器动作


public ActionResult GetData(string data)

{

    return new JsonResult

    {

        Data = data.ToUpper(),

        JsonRequestBehavior = JsonRequestBehavior.AllowGet

    };

}

客户端代码


<script type="text/javascript">

        $(function () {

            $("#button-request").click(function () {

                var ajaxConfig = {

                    dataType: "json",

                    url: "http://localhost:8100/host/getdata",

                    contentType: 'application/json',

                    data: JSON.stringify({ data: "A string of data" }),

                    type: "POST",

                    success: function (result) {

                        alert(result);

                    },

                    error: function (jqXHR, textStatus, errorThrown) {

                        alert('Error: Status: ' + textStatus + ', Message: ' + errorThrown);

                    }

                };


                $.ajax(ajaxConfig);

            });

        });

    </script>

现在,每当发生预检请求时,它都会返回500个HTTP代码,因为“ data”参数为null,因为OPTIONS请求未传递任何值。


服务器应用程序已在端口8100的本地IIS中设置,并且在8200端口上设置了运行客户端代码的页面,以模拟跨域调用。


我还使用以下标头配置了主机(在8100上):


Access-Control-Allow-Headers: Content-Type

Access-Control-Allow-Methods: POST, GET

Access-Control-Allow-Origin: http://localhost:8200

我发现的一种解决方法是检查执行该操作的HTTP方法,如果这是一个仅返回空白内容的OPTIONS请求,则执行该操作代码。像这样:


public ActionResult GetData(string data)

{

    if (Request.HttpMethod == "OPTIONS") {

        return new ContentResult();

    } else {

        return new JsonResult

        {

            Data = data.ToUpper(),

            JsonRequestBehavior = JsonRequestBehavior.AllowGet

        };

    }

}

但是这种方法对我来说很笨拙。我考虑过将这种逻辑添加到中Attribute,但这甚至意味着装饰将使用CORS调用的每个动作。


是否有更优雅的解决方案来使此功能正常工作?


明月笑刀无情
浏览 619回答 3
3回答

MYYA

因此,我找到了可行的解决方案。对于每个请求,我都会检查它是否是CORS请求,以及该请求是否与OPTIONS动词一起出现,表明它是预检请求。如果是这样,我只发送回一个空响应(当然只包含在IIS中配置的标头),从而使控制器动作执行无效。然后,如果客户端根据预检返回的标头确认允许执行请求,则执行实际的POST并执行控制器动作。我的代码示例:protected void Application_BeginRequest(){&nbsp; &nbsp; if (Request.Headers.AllKeys.Contains("Origin", StringComparer.OrdinalIgnoreCase) &&&nbsp; &nbsp; &nbsp; &nbsp; Request.HttpMethod == "OPTIONS") {&nbsp; &nbsp; &nbsp; &nbsp; Response.Flush();&nbsp; &nbsp; }}如前所述,这对我有用,但是如果有人知道更好的方法或我当前实现中的任何缺陷,我将不胜感激。
0

慕标琳琳

接受的答案就像一个超级按钮一样工作,但是我发现请求实际上已经传递给了控制器。我正在接收200状态代码,但是响应主体包含许多HTML,但控制器中有异常。因此Response.Flush(),我发现最好使用而不是使用Response.End(),它确实会停止执行请求。此替代解决方案如下所示:编辑:修复了原始答案中的错字。protected void Application_BeginRequest(){&nbsp; &nbsp; if (Request.Headers.AllKeys.Contains("Origin", StringComparer.OrdinalIgnoreCase) &&&nbsp; &nbsp; &nbsp; &nbsp; Request.HttpMethod == "OPTIONS") {&nbsp; &nbsp; &nbsp; &nbsp; Response.End();&nbsp; &nbsp; }}
0
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

.NET
.net 中 字符串含有超链接,如何给超链接自动加上a标签? 1 回答
请问.net 中用jquery传值安全吗? 2 回答