作者:陳希章
時間:2014-7-3
問題描述
當跨域(cross domain)調用ASP.NET MVC或者ASP.NET Web API編寫的服務時,會發生無法通路的情況。
重制方式
- 使用模闆建立一個最簡單的ASP.NET Web API項目,調試起來确認能正常工作
關于AJAX跨域調用ASP.NET MVC或者WebAPI服務的問題及解決方案 - 建立另外一個項目,僅僅包含一個HTML頁面,發起AJAX的調用
關于AJAX跨域調用ASP.NET MVC或者WebAPI服務的問題及解決方案 - 在浏覽器中打開這個網頁,我們會發現如下的錯誤(405:Method Not Allowed) 【備注】同樣的情況,也發生在ASP.NET MVC中。某些時候,MVC也可以直接用來開發服務,與WebAPI相比各有優缺點。下面是一個利用MVC開發的服務的例子
關于AJAX跨域調用ASP.NET MVC或者WebAPI服務的問題及解決方案 關于AJAX跨域調用ASP.NET MVC或者WebAPI服務的問題及解決方案
原因分析
跨域問題僅僅發生在Javascript發起AJAX調用,或者Silverlight發起服務調用時,其根本原因是因為浏覽器對于這兩種請求,所給予的權限是較低的,通常隻允許調用本域中的資源,除非目标伺服器明确地告知它允許跨域調用。
是以,跨域的問題雖然是由于浏覽器的行為産生出來的,但解決的方法卻是在服務端。因為不可能要求所有用戶端降低安全性。
解決方案
針對ASP.NET MVC和ASP.NET Web API兩種項目類型,我做了一些研究,确定下面的方案是可行的。
針對ASP.NET MVC,隻需要在web.config中添加如下的内容即可
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*" />
<add name="Access-Control-Allow-Headers" value="Content-Type" />
<add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />
</customHeaders>
</httpProtocol>
<handlers>
<remove name="ExtensionlessUrlHandler-Integrated-4.0" />
<remove name="OPTIONSVerbHandler" />
<remove name="TRACEVerbHandler" />
<add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
</handlers>
</system.webServer>
針對ASP.NET Web API,除了上面這樣的設定,還需要添加一個特殊的設計,就是為每個APIController添加一個OPTIONS的方法,但無需傳回任何東西。
public string Options()
{
return null; // HTTP 200 response with empty body