[IT] CORS 跨原始來源要求
TL;DR CORS (Cross-Origin Resource Sharing) 是一個支援安全跨源請求和資料傳輸的機制,用於在瀏覽器和伺服器之間進行跨源請求。 這是一個 W3C 標準,可讓伺服器放寬相同原始來源原則。 不是安全性功能,CORS 會放寬安全性。 允許 CORS 並不會增強 API 的安全性。CORS 的運作方式 允許伺服器明確允許某些跨原始來源要求,同時拒絕其他要求。 比舊版技術 (例如:JSONP) 更安全且更有彈性。 何謂相同原始來源 如果兩個 URL 具有相同的配置、主機和連接埠,則其原始來源相同 (RFC 6454)。 這兩個 URL 具有相同的原始來源: https://example.com/foo.html https://example.com/bar.html 這些 URL 的原始來源與前兩個 URL 不同: https://example.net:不同的網域 https://www.example.com/foo.html:不同的子網域 http://example.com/foo.html:不同的配置 https://example.com:9000/foo.html:不同的連接埠 如何啟動 CORS 有三種方式可以啟用 CORS: 在中介軟體中,使用具名原則或預設原則。 使用端點路由。 使用 [EnableCors] 屬性。 搭配具名原則使用 [EnableCors] 屬性能夠以最精細的程度來控制對於支援 CORS 之端點的限制。 ...