Why ~ CORS

 

網頁前台開發,如果使用RESTful,應該就會遇到CORS (Cross-Origin Requests)的問題。

查了資料後一般都是加入Header來對應解決。常有的方式是直接Open管控,這樣就失去了安全性的初衷。

先回到為什麼要有CORS,所要管控的是什麼來思考

網頁應用程式有以下三個概要角色,WebService提供前台頁面程式,但因為Client Browser的實體可以多個無法固定計算

CORS機制有功能為管控指定Origin所提供的前台程式碼叫用Restful Service才會被受理

image

 

先把閘門放在,Cross-Origin ,跨了不同的Origin,如何定義不同的Origin

以 http://webservice:80 而言,以下都是不同Origin

https://webservice (protocol )

http://client (host )

http://webservice:81 (port )

http://www.webservice:80 (host )

就會被視為不同Origin,會需要在CORS機制控管

 

協定上相關的Header有以下

Request headers

  • Origin
  • Access-Control-Request-Method
  • Access-Control-Request-Headers
Response headers
  • Access-Control-Allow-Origin
  • Access-Control-Allow-Credentials
  • Access-Control-Expose-Headers
  • Access-Control-Max-Age
  • Access-Control-Allow-Methods
  • Access-Control-Allow-Headers

 

目前支援CORS的Browser 版本參考 http://enable-cors.org/client.html

其它的部份就是依不同實作機制工具做不同的設定

MS.MVC 5: http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api

 

參考

留言

張貼留言

這個網誌中的熱門文章

MS.MVC 和 Newtonsoft.Json (json.net) 的版本不相容問題

MS.MVC 和 Newtonsoft.Json (json.net) 的版本不相容問題 Could not load file or assembly 'Newtonsoft.Json, Version=4.5.0.0, Culture=neutral, PublicKeyToken=30ad4fe6b2a6aeed' 狀況 MS.MVC4 裡有引用到Newtonsoft.Json version=4.5.0.0 Newtonsoft.Json 最新版已到9 or upper 使用.Net Framework 4,對應的版本只到8。目前開發用到8.0.3 使用.Net Framework 4.5.1,對應的版本到9 (未使用Nuget) 直接copy path取得Newtonsoft.Json。 所以未看到在web.config裡自動加入 assemblyBinding\dependentAssembly 片段指示   修正方式   1.最快且方便的方法      在Package Manger Console裡重新取用Newtonsoft.Json Update-Package –reinstall Newtonsoft.Json      會自動對應可用版本,用這個方式可以直接省去比對的時間   2.或基本指示調整 web.config 裡加入元件版本引用指示 <configuration> <runtime>     <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">         <dependentAssembly>             <assemblyIdentity name="Newtonsoft.Json"                                             publicKeyToken="30AD4FE6B2A6AEED" culture="neutral"/>                                    <bin
閱讀完整內容

Docker on Windows – 網路不通問題

圖片
  下載Docker on Windows 試試 https://docs.docker.com/docker-for-windows/ 和Docker Toolkit差異可以參考(沒有看到以Docker on Windows為準和Toolkit比較,官網上只有Docker on Mac,不過差異不大) https://docs.docker.com/docker-for-mac/docker-toolbox/ 外表上比較明顯的差異 : 不使用VirtualBox,另採用虛擬化Hyper-V or Hyper-Kit   安裝完後檢查版本號   安裝後遇到了網路不通的問題 是以Hyper-V為基礎進行虛擬化,起初以為Hyper-V網路虛擬交換器需要進行一些設定 查詢 https://forums.docker.com/t/docker-1-12-for-windows-10-is-not-working/16647 後,依照內容進行調整 果然解決了。 步驟如下 把 vDocker虛擬交換器 IPv4 失效不勾選 依下圖設下固定IP 10.0.75.1/255.255.255.0 DNS : 8.8.8.8, 8.8.4.4 restart docker service
閱讀完整內容

Android Studio 2 使用 Visual Studio Emulator for Android 模擬器

圖片
Android Studio 2 使用 Visual Studio Emulator for Android 模擬器 Android SDK 所提供的AVD速度太慢,原本使用Genymotion需要使用到VisualBox 但因為windows 10 內建的docker又想要使用,似乎在win10下使用hyper-v會是比較受到微軟眷顧 單OS內使用Hyper-v,VirtualBox無法同時安裝,因硬體主機支援虛擬化有受限只能使用一種, 決定保留hyper-v   目前開發android程式,仍是以java , android studio為主 雖然另有phonegap之類的代替方式,但效能及標準及可維護性及無足夠的把握   前置環境 安裝Visual Studio Emulator for Android 安裝Android Studio 2   設定步驟 參考資料:(細部說明參考原文) https://blogs.msdn.microsoft.com/visualstudioalm/2015/07/20/using-the-visual-studio-emulator-for-android-from-android-studio-or-eclipse-with-adt/   In Android Studio 初步設定(可以不一定需要) go to [Run]\[Edit Configuration] check [Use same device for future launches] External Tools設定 go to [File]\[Settings]\[External Tools] 所需要的id可以用以下方式查出 emulatorcmd.exe /sku:Android list /type:device 以上取得是0095……….這一組 add tool Quick-launch a particular profile C:\Program Files (x86)\Microsoft Emulator Manager\1.0\emulatorcmd.exe /sku:Android launch /id:剛取得的ID Open emulator manager C:\Pro
閱讀完整內容