如何添加访问控制允许来源?
Posted
技术标签:
【中文标题】如何添加访问控制允许来源?【英文标题】:How to add Access-Control-Allow-Origin? 【发布时间】:2013-10-11 01:13:46 【问题描述】:当我调用我的 web 服务方法时,我收到以下错误。
Origin http://localhost:4165 is not allowed by Access-Control-Allow-Origin.
当引用网络时,我得到了添加 Access-Control-Allow-Origin 之类的解决方案
我不知道在哪里添加这个。
我的脚本是:
$(document).ready(function ()
$.ajax(
type: "Post", dataType: "json", contentType: "application/json; charset=utf-8",
url: "http://localhost:63384/ListWebService.asmx/HelloWorld", success: function (data) alert(data.d); , error: function (request, status, error)
alert(request.responseText);
);
);
我的网络服务方法是:
[WebMethod]
public string HelloWorld()
return "Hello User";
【问题讨论】:
【参考方案1】:我找到了我的问题的答案。只需将以下内容添加到您的 web.config 文件中
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*"/>
<add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
</customHeaders>
</httpProtocol>
</system.webServer>
另外,如果您不希望全局设置它,那么您可以将其单独添加到您的操作方法中,如下所示:
[WebMethod]
public string HelloWorld()
HttpContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
return "Hello User";
【讨论】:
web.config 解决方案非常有效。你也可以写请求者的域而不是*来增加安全性。
但是解决方案的第二部分(仅允许访问特定方法)不起作用。这是因为请求无法通过web.config,所以它不会到达方法,因此方法的allow-access是没有用的。
它会起作用,我已经在我的解决方案中实现了它,所以这里只给出答案。
也许没有任何web.config 可用于阻止请求到达方法?
Idk 如果是新更新或什么,但似乎“Access-Control-Allow-Origin”标头名称现在需要是“Access-Control-Allow-Headers”中的值.例如:<add name="Access-Control-Allow-Origin" value="*"/><add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept, Access-Control-Allow-Origin" /> 我觉得 Chrome 团队正在努力让这件事变得尽可能困难......也许你可以使用他们的工具或其他东西。以上是关于如何添加访问控制允许来源?的主要内容,如果未能解决你的问题,请参考以下文章
将所有域添加到 CORS 的安全隐患(访问控制允许来源:*)