Nginx代理AspNetCore跨域问题

在前后端分离开发中,经常出现跨域的问题,本文是记录使用Nginx来反向代理AspNetCore应用时的跨域问题

跨域

对于同一域名(主机名),同一端口,同一协议,我们认为这是同一个域,只要有一个条件不满足,就会产生跨域问题,防止跨域本身是为了主机安全,所以推荐尽量从服务端进行控制,客户端控制不在本文范围内

解决跨域

开发

开发 asp.net core 应用时,我们可以使用跨域中间件来允许所有域访问,方便进行接口调试和测试

//Startup.cs
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
      if (env.IsDevelopment())
      {
            app.UseCors(x => x.AllowAnyOrigin().AllowAnyHeader().AllowAnyMethod());
      }
 }

单体部署

但是正式生产环境中,不允许这样使用,也就是说即使配置了也还是会失效,推荐使用白名单模式,可以扩展配置文件 appsetting.json 文件,加上跨域配置

{
  "AllowedHosts": "*",
  "ConnectionStrings": {
    "Server": "sql connection string"
  },
  "Cors": {
    "Open": true,
    "Policy": "http://www.ex.com"
  },
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft": "Warning",
      "Microsoft.Hosting.Lifetime": "Information"
    }
  }
}

其中的 Cors 配置为跨域项,然后根据该项配置跨域,下面只是简单展示,具体还应加上验证

//Startup.cs 中 ConfigureServices
services.AddCors(options =>
{
    options.AddPolicy(name: "prod",
                      builder =>
                      {
                          if (Convert.ToBoolean(Configuration.GetSection("Cors").GetSection("Open").Value))
                          {
                              var cors = Configuration.GetSection("Cors").GetSection("Policy").Value.Split(',');
                              builder.WithOrigins(cors).WithMethods("GET", "POST", "OPTIONS");
                          }
                      });
});

//Startup.cs 中 Configure
app.UseCors("prod");

Nginx部署

使用 Nginx 进行反向代理,需要在 Nginx 上配置跨域规则,同时需要清除应用中的跨域规则,不然会出现两个跨域规则导致出错,配置 nginx.conf 如下

location / {
     if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain; charset=utf-8';
        add_header 'Content-Length' 0;
        return 204;
     }
     if ($request_method = 'POST') {
        add_header 'Access-Control-Allow-Origin' '*' always;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
        add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range' always;
        add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always;
     }
     if ($request_method = 'GET') {
        add_header 'Access-Control-Allow-Origin' '*' always;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
        add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range' always;
        add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always;
     }
}

想了解Nginx反向代理,点击这里

发布时间:2021-10-13
其他阅读

LinqPad 8 分享下载

LinqPad是一个 .Net 快速验证工具,使得.Net开发者可以不借助 Visual Studio 就可以快速验证想法,毕竟vs冷启动和创建项目耗时久,负担大。本文分享一个LinqPad学习版,可直接下载使用。

查看原文

Nginx配置反向代理和负载均衡

Nginx是一个流行的Web容器,作为服务的入口,使用反向代理和负载均衡,达到隐藏和保护内部服务安全的作用,本文会描述Nginx反向代理和负载均衡的配置。

查看原文

网页上通过超链接直接打开PC应用

有时候我们会发现有些网页可以直接打开本地应用,比如在百度网盘网页版下载文件时,会自动打开本地的百度网盘软件。Visual Studio Code打开浏览器认证后也会转到本地引用,Unity官网打开本地的Unity Hub应用进行Unity的下载和更新等。

查看原文

新版本.Net关于Process.Start的问题

.Net 开发中,试用 Process.Start() 来启动一个新进程,当我们传入的是具体文件或者链接的时候,系统也会根据默认打开方式打开对应的进程。但是在新版本的 .Net 中,试用 Process.Start() 来打开文件或者链接的时候,会抛出 System.ComponentModel.Win32Exception 的错误,提示系统找不到指定的文件。

查看原文

Winform中设置控件边框

本文将会介绍在Winform中如何设置控件的边框,可应用于Form和Panel等。

查看原文