【问题标题】:Ajax request with custom header sent to Web API server with CORS enabled带有自定义标头的 Ajax 请求发送到启用 CORS 的 Web API 服务器
【发布时间】:2015-05-26 10:42:13
【问题描述】:

我正在尝试正确设置 Web API 网络服务以使用 CORS,但最近运气不佳。

我有一个来自移动应用程序的 html 页面,它使用 ajax 请求来获取一些数据:

Webservices.GetUserLevel = function() {
    var userLevel = null;

    $.ajax({
        url: _CONNECTION_STRING + "getuserlevel/" + _USER_PIN,
        contentType:'application/json; charset=utf-8',
        type: 'GET',
        async: false,
        cache: false,
        crossDomain: true,        
        data: {
            BlackberryPin: _USER_PIN
        },
        beforeSend: function(xhr) {
            xhr.setRequestHeader('BlackberryPin', _USER_PIN);                   
        },
        success: function(data) {
            userLevel = data;
        },
        error: function(xhr, ajaxOptions, thrownError) {
            Webservices.HandleError(xhr, ajaxOptions, thrownError);
        }
    });

    return userLevel;
}

我从那个电话中得到的回应是:

XMLHttpRequest 无法加载 http://.. urlGoesHere ../getuserlevel/2B65FA52?BlackberryPin=2B65FA52&_=1427109244103。请求的资源上不存在“Access-Control-Allow-Origin”标头。因此,Origin 'http://localhost:3726' 不允许访问。响应的 HTTP 状态代码为 404。

在 webservice 上,控制器方法如下所示:

public UserLevel GetUserLevel(string pin)
{    
    return _service.GetUserLevel(pin);
}

我在我的 web 服务的 web.config 中启用了 CORS:

<system.webServer>            
<validation validateIntegratedModeConfiguration="false" />
<httpProtocol>
  <customHeaders>
    <add name="Access-Control-Allow-Origin" value="*" />
    <add name="Access-Control-Allow-Headers" value="Content-Type, Authorization, Accept, X-Requested-With, Origin, BlackberryPin" />
    <add name="Access-Control-Allow-Methods" value="OPTIONS, TRACE, GET, HEAD, POST, PUT" />
  </customHeaders>

</httpProtocol>
<handlers>
  <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
  <remove name="OPTIONSVerbHandler" />
  <remove name="TRACEVerbHandler" />
  <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
</handlers>    
</system.webServer>

我们的 web api 配置相当简单:

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        // Web API configuration and services

        // Web API routes
        config.MapHttpAttributeRoutes();

        config.Routes.MapHttpRoute(
            name: "DefaultApi",
            routeTemplate: "api/{controller}/{action}/{id}",
            defaults: new { id = RouteParameter.Optional }
        );
        config.Filters.Add(new HandleExceptionAttribute());
        config.Filters.Add(new WebAuthorisationFilter());            
    }
}

我们设置了一个网络授权过滤器来检查自定义标头“BlackberryPin”,并将拒绝不包含该标头和有效品脱的请求。在使用远程调试器测试 web 服务时,我发现它没有访问授权过滤器代码,所以我怀疑这里的路由/CORS 配置有问题。

感谢您提供的任何帮助或想法。

更新:

我还在控制器方法上尝试了以下数据注释:

    [Route("api/erouter/GetUserLevel/{pin}")]        
    [EnableCors("*", "Accept, Origin, Content-Type, OPTIONS, Pin, BlackberryPin", "GET")]
    public UserLevel GetUserLevel(string pin)
    {    
        return _service.GetUserLevel(new ERouterRequest(pin,null));
    }

当我使用 fiddler 调用此方法(作为 GET)时,它成功通过。但是,使用 ajax 调用它会在主 GET 调用之前发送的预检 OPTIONS 请求上返回 405 错误。

【问题讨论】:

    标签: c# ajax web-services cors asp.net-web-api


    【解决方案1】:

    仔细查看了 Firebug 中 ajax OPTIONS 调用中的请求标头。

    事实证明,我在配置键 Access-Control-Allow-Headers 下的 web.config 中遗漏了一些已接受的标头。我添加了标题:Accept、Accept-Encoding、Accept-Language、Cache-Control、Access-Control-Request-Header、Access-Control-Request-Method。

    【讨论】:

    • 请您实际粘贴web.config 中的相关位吗?
    • 您可以使用标签 name="Access-Control-Allow-Headers" 设置 CORS 标头,例如
    猜你喜欢
    • 2014-01-03
    • 2013-01-24
    • 2013-01-29
    • 2014-07-29
    • 1970-01-01
    • 2011-10-01
    • 1970-01-01
    • 2018-02-09
    • 1970-01-01
    相关资源
    最近更新 更多