ASP.NET Boilerplate项目中跨域(CORS)配置的解决方案

在基于ASP.NET Boilerplate框架(版本7.4.0.0)开发Web API项目时，开发者可能会遇到跨域资源共享(CORS)配置的问题。本文将详细介绍如何在ASP.NET Boilerplate项目中正确配置CORS，特别是针对应用服务(Application Services)的跨域访问问题。

问题背景

ASP.NET Boilerplate是一个流行的应用程序框架，它集成了ASP.NET MVC和Web API。在开发过程中，当前端应用(如Angular、React等)需要从不同域访问后端API时，就需要配置CORS策略。虽然标准的MVC控制器(如AccountController)可以正常工作，但应用服务(Application Services)默认可能不支持跨域请求。

解决方案

要在ASP.NET Boilerplate中启用CORS支持，需要在模块初始化时进行配置。以下是完整的解决方案代码示例：

[DependsOn(typeof(AbpWebApiModule), typeof(YourProjectApplicationModule))]
public class YourProjectApiModule : AbpModule
{
    public override void Initialize()
    {
        // 注册程序集
        IocManager.RegisterAssemblyByConvention(Assembly.GetExecutingAssembly());
        
        // 动态API控制器构建
        Configuration.Modules.AbpWebApi().DynamicApiControllerBuilder
            .ForAll<IApplicationService>(typeof(YourProjectApplicationModule).Assembly, "app")
            .Build();
            
        // 配置CORS策略
        var cors = new EnableCorsAttribute(
            origins: "http://localhost:7013,https://localhost:7013", 
            headers: "*", 
            methods: "*");
            
        // 启用CORS
        Configuration.Modules.AbpWebApi().HttpConfiguration.EnableCors(cors);
        
        // 添加Bearer认证过滤器
        Configuration.Modules.AbpWebApi().HttpConfiguration.Filters.Add(
            new HostAuthenticationFilter("Bearer"));
    }
}

关键点解析

1. 模块依赖：确保你的API模块依赖于AbpWebApiModule和你项目的应用模块。

2. 动态API控制器：通过DynamicApiControllerBuilder为所有应用服务创建API端点。

3. CORS配置：

   • 使用EnableCorsAttribute指定允许的源、头和方法
   • 可以配置多个允许的域，用逗号分隔
   • *表示允许所有头或方法

4. 认证配置：添加Bearer令牌认证支持

注意事项

1. 此解决方案适用于ASP.NET MVC 5.x项目，不适用于ASP.NET Core项目(ASP.NET Core有自己不同的CORS配置方式)。

2. 在生产环境中，应该限制允许的源域，而不是使用通配符*，以增强安全性。

3. 此配置是全局性的，会应用到所有API端点。如果需要更细粒度的控制(如某些服务或方法使用不同的CORS策略)，需要进一步定制。

4. 如果前端使用HTTPS，确保后端也配置了HTTPS的CORS策略。

通过以上配置，你的ASP.NET Boilerplate项目应该能够正确处理来自不同域的API请求，包括应用服务(Application Services)的调用。