CORS是跨域资源共享标准，ASP.NET Core通过内置中间件支持；2. 需在Program.cs中注册服务、配置策略并启用中间件；3. 可全局或按控制器启用，支持自定义源、头、方法及凭据；4. 中间件自动处理预检请求，需确保策略匹配；5. 调试时检查响应头与浏览器网络日志，生产环境避免通配符。

在 ASP.NET Core 中处理跨域（CORS）是前后端分离开发中常见的需求。当浏览器发起请求的目标资源与当前页面的协议、域名或端口不一致时，就会触发跨域请求。默认情况下，浏览器出于安全考虑会阻止这类请求，除非服务器明确允许。

什么是 CORS

CORS（Cross-Origin Resource Sharing，跨域资源共享）是一种 W3C 标准，它允许服务器声明哪些外部源（如前端应用所在的域名）可以访问其资源。ASP.NET Core 提供了内置的 CORS 服务和中间件来简化这一过程。

启用 CORS 的步骤

要在 ASP.NET Core 应用中启用 CORS，需完成以下三步：

• 在 Program.cs 或 Startup.cs 中注册 CORS 服务
• 配置具体的跨域策略
• 使用中间件将策略应用到请求管道

在 Program.cs 中配置 CORS（.NET 6+）

现代 ASP.NET Core 项目使用 Program.cs 统一配置服务和中间件。以下是一个完整的配置示例：

 var builder = Webapplication.CreateBuilder(args);  // 添加 CORS 服务 builder.Services.AddCors(options => {     options.AddPolicy("AllowSpecificOrigin",         policy =>         {             policy.WithOrigins("https://your-frontend.com", "http://localhost:3000")                   .AllowAnyHeader()                   .AllowAnyMethod()                   .AllowCredentials(); // 如果需要发送 cookie 或认证信息         }); });  builder.Services.AddControllers();  var app = builder.Build();  // 使用 CORS 中间件，并指定策略 app.UseCors("AllowSpecificOrigin");  app.UseAuthorization(); app.MapControllers();  app.Run(); 

常见配置选项说明

在定义 CORS 策略时，可以根据实际需求选择不同的配置方法：

奇域

奇域是一个专注于中式美学的国风AI绘画创作平台

30

查看详情

• WithOrigins(String[] origins)：指定允许访问的前端地址，避免使用 AllowAnyOrigin() 在生产环境
• AllowAnyHeader()：允许任意请求头，也可用 WithHeaders() 指定具体头部
• AllowAnyMethod()：允许所有 HTTP 方法，也可用 WithMethods("GET", "POST") 限制方法
• AllowCredentials()：允许携带凭据（如 Cookie），此时不能使用 AllowAnyOrigin()

按控制器或 Action 启用 CORS

如果不希望全局启用 CORS，可以移除 app.UseCors()，改为在控制器或方法上使用特性：

 [EnableCors("AllowSpecificOrigin")] [ApiController] [Route("[controller]")] public class WeatherController : ControllerBase {     [HttpGet]     public IActionResult Get()     {         return Ok(new { message = "Hello from API" });     } } 

这种方式更灵活，适用于部分接口需要跨域、其他接口不需要的场景。

处理预检请求（Preflight）

对于复杂请求（如包含自定义头、Content-Type 为 application/json 等），浏览器会先发送一个 OPTIONS 预检请求。ASP.NET Core 的 CORS 中间件会自动响应这类请求，只要策略配置正确。

确保你的策略允许对应的 Method 和 Header，否则预检失败会导致主请求被阻止。

调试跨域问题建议

• 查看浏览器开发者工具中的 Network 面板，确认是否发出 OPTIONS 请求
• 检查响应头是否包含 access-Control-Allow-Origin
• 如果使用了 AllowCredentials，响应头不会出现 Access-Control-Allow-Origin: *
• 部署后测试生产环境域名是否在策略中

基本上就这些。只要正确注册服务、配置策略并启用中间件，ASP.NET Core 的 CORS 支持非常稳定且易于维护。