ASP.NET Core Web API 中啟用 CORS：完整指南

跨源資源共享 (CORS) 是一種機制，允許 Web 瀏覽器進行跨源 HTTP 請求，通常針對與瀏覽器當前來源不同的域。啟用 CORS 對於確保前端應用程序和託管在不同域或端口上的後端 Web API 之間的無縫通信至關重要。

在 Startup.cs 中啟用 CORS

在 ASP.NET Core 中啟用 CORS 的首選方法是通過 Startup.cs 文件。在 ConfigureServices 方法中，添加以下幾行以安裝 CORS 包並配置 CORS 服務：

services.AddCors();
services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

接下來，在 Configure 方法中，在調用 app.UseMvc() 之前配置 CORS 中間件：

app.UseCors(options => options.WithOrigins("http://example.com").AllowAnyMethod());

這將允許來自指定來源（在本例中為“http://example.com”）的任何請求使用任何 HTTP 方法。

全局配置 CORS

如果要為所有控制器和操作全局啟用 CORS，可以將 [EnableCors] 屬性添加到 Startup.cs 文件：

[assembly: EnableCors(typeof(MyPolicy))]

可以在 ConfigureServices 中定義 MyPolicy：

services.AddCors(options =>
{
    options.AddPolicy("MyPolicy",
        policy => policy.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader());
});

這將為所有控制器和操作啟用 CORS，無需單獨的控制器或操作級別的配置。

添加自定義標頭

如果需要在 CORS 配置中指定其他自定義標頭，可以在 app.UseCors 語句中修改 options 對象：

app.UseCors(options => options.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader()
    .WithExposedHeaders("X-My-Custom-Header"));

這會將 X-My-Custom-Header 添加到允許公開的標頭列表中。

使用手動標頭添加的強制方法

作為使用內置 CORS 中間件的替代方法，可以使用中間件手動將必需的標頭添加到每個響應中。此方法不太推薦，但在某些情況下可能很有用，尤其是在使用授權標頭時。

app.Use(async (context, next) =>
{
    context.Response.Headers.Add("Access-Control-Allow-Origin", "*");
    context.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, PUT, PATCH, DELETE");
    context.Response.Headers.Add("Access-Control-Allow-Headers", "X-PINGOTHER, Content-Type, Authorization");
    await next();
});

此中間件會將指定的標頭添加到所有響應中，從而有效地為所有請求啟用 CORS。

結論

根據您的具體要求，可以通過多種方法在 ASP.NET Core 中啟用 CORS。按照本指南中概述的步驟，您可以確保前端應用程序和後端 Web API 之間的無縫跨源通信，從而允許跨域共享數據和功能。