關於AJAX跨域調用ASP.NET MVC或者WebAPI服務的問題及解決方案

 

問題描述

 

當跨域（cross domain）調用ASP.NET MVC或者ASP.NET Web API編寫的服務時，會發生沒法訪問的狀況。

 

重現方式

 

1. 使用模板建立一個最簡單的ASP.NET Web API項目，調試起來確認能正常工做

2. 建立另一個項目，僅僅包含一個HTML頁面，發起AJAX的調用

3. 在瀏覽器中打開這個網頁，咱們會發現以下的錯誤（405：Method Not Allowed）

    

   【備註】一樣的狀況，也發生在ASP.NET MVC中。某些時候，MVC也能夠直接用來開發服務，與WebAPI相比各有優缺點。下面是一個利用MVC開發的服務的例子

 

 

 

緣由分析

 

跨域問題僅僅發生在Javascript發起AJAX調用，或者Silverlight發起服務調用時，其根本緣由是由於瀏覽器對於這兩種請求，所給予的權限是較低的，一般只容許調用本域中的資源，除非目標服務器明確地告知它容許跨域調用。

 

因此，跨域的問題雖然是因爲瀏覽器的行爲產生出來的，但解決的方法倒是在服務端。由於不可能要求全部客戶端下降安全性。

 

 

 

解決方案

 

針對ASP.NET MVC和ASP.NET Web API兩種項目類型，我作了一些研究，肯定下面的方案是可行的。

 

針對ASP.NET MVC，只須要在web.config中添加以下的內容便可

 

<system.webServer>

 

<httpProtocol>

 

<customHeaders>

 

<add name="Access-Control-Allow-Origin" value="*" />

 

<add name="Access-Control-Allow-Headers" value="Content-Type" />

 

<add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />

 

</customHeaders>

 

</httpProtocol>

 

<handlers>

 

<remove name="ExtensionlessUrlHandler-Integrated-4.0" />

 

<remove name="OPTIONSVerbHandler" />

 

<remove name="TRACEVerbHandler" />

 

<add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />

 

</handlers>

 

</system.webServer>

 

 

 

 

 

針對ASP.NET Web API,除了上面這樣的設置，還須要添加一個特殊的設計，就是爲每一個APIController添加一個OPTIONS的方法，但無需返回任何東西。

 

public string Options()

 

{

 

return null; // HTTP 200 response with empty body

 

}