ASP.NET Core Web API 中启用 CORS：完整指南

跨源资源共享 (CORS) 是一种机制，允许 Web 浏览器进行跨源 HTTP 请求，通常针对与浏览器当前来源不同的域。启用 CORS 对于确保前端应用程序和托管在不同域或端口上的后端 Web API 之间的无缝通信至关重要。

在 Startup.cs 中启用 CORS

在 ASP.NET Core 中启用 CORS 的首选方法是通过 Startup.cs 文件。在 ConfigureServices 方法中，添加以下几行以安装 CORS 包并配置 CORS 服务：

services.AddCors();
services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

接下来，在 Configure 方法中，在调用 app.UseMvc() 之前配置 CORS 中间件：

app.UseCors(options => options.WithOrigins("http://example.com").AllowAnyMethod());

这将允许来自指定来源（在本例中为“http://example.com”）的任何请求使用任何 HTTP 方法。

全局配置 CORS

如果要为所有控制器和操作全局启用 CORS，可以将 [EnableCors] 属性添加到 Startup.cs 文件：

[assembly: EnableCors(typeof(MyPolicy))]

可以在 ConfigureServices 中定义 MyPolicy：

services.AddCors(options =>
{
    options.AddPolicy("MyPolicy",
        policy => policy.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader());
});

这将为所有控制器和操作启用 CORS，无需单独的控制器或操作级别的配置。

添加自定义标头

如果需要在 CORS 配置中指定其他自定义标头，可以在 app.UseCors 语句中修改 options 对象：

app.UseCors(options => options.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader()
    .WithExposedHeaders("X-My-Custom-Header"));

这会将 X-My-Custom-Header 添加到允许公开的标头列表中。

使用手动标头添加的强制方法

作为使用内置 CORS 中间件的替代方法，可以使用中间件手动将必需的标头添加到每个响应中。此方法不太推荐，但在某些情况下可能很有用，尤其是在使用授权标头时。

app.Use(async (context, next) =>
{
    context.Response.Headers.Add("Access-Control-Allow-Origin", "*");
    context.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, PUT, PATCH, DELETE");
    context.Response.Headers.Add("Access-Control-Allow-Headers", "X-PINGOTHER, Content-Type, Authorization");
    await next();
});

此中间件会将指定的标头添加到所有响应中，从而有效地为所有请求启用 CORS。

结论

根据您的具体要求，可以通过多种方法在 ASP.NET Core 中启用 CORS。按照本指南中概述的步骤，您可以确保前端应用程序和后端 Web API 之间的无缝跨源通信，从而允许跨域共享数据和功能。