ASP.NET Web API 2'de çıkış noktaları arası istekleri etkinleştirme

Tarafından Mike Wasson

Bu içerik önceki bir .NET sürümüne yöneliktir. Yeni geliştirme ASP.NET Core kullanmalıdır. ASP.NET Core'da Web API'sini ve Çıkış Noktaları Arası İstekleri (CORS) kullanma hakkında daha fazla bilgi için bkz:

• Öğretici: ASP.NET Core ile web API'si oluşturma
• ASP.NET Core'da Çıkış Noktaları Arası İstekleri (CORS) etkinleştirme

Tarayıcı güvenliği, bir web sitesinin başka bir etki alanına AJAX istekleri göndermesini engeller. Bu kısıtlama aynı kaynak ilkesi olarak adlandırılır ve kötü amaçlı bir sitenin başka bir siteden hassas verileri okumasını önler. Ancak, bazen diğer sitelerin web API'nizi çağırmasına izin vermek isteyebilirsiniz.

Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), bir sunucunun aynı kaynak ilkesini gevşetmesini sağlayan bir W3C standardıdır. Bir sunucu CORS kullanarak bazı çıkış noktaları arası isteklere izin verirken diğerlerini reddedebilir. CORS, JSONP gibi önceki tekniklerden daha güvenli ve daha esnektir. Bu öğreticide, Web API uygulamanızda CORS'nin nasıl etkinleştirileceği gösterilmektedir.

Öğreticide kullanılan yazılım

• Visual Studio
• Web API 2.2

Giriş

Bu öğreticide ASP.NET Web API'sinde CORS desteği gösterilmektedir. İlk olarak biri "WebService" adlı, bir Web API denetleyicisi barındıran ve diğeri de WebService'i çağıran "WebClient" adlı iki ASP.NET projesi oluşturacağız. İki uygulama farklı etki alanlarında barındırıldığından, WebClient'tan WebService'e AJAX isteği çıkış noktaları arası bir istektir.

"Aynı kaynak" nedir?

Aynı şemalara, konaklara ve bağlantı noktalarına sahip olan iki URL'nin kaynağı aynıdır. (RFC 6454)

Bu iki URL'nin kaynağı aynıdır:

• http://example.com/foo.html
• http://example.com/bar.html

Bu URL'lerin çıkış noktaları önceki iki url'den farklı:

• http://example.net - Farklı etki alanı
• http://example.com:9000/foo.html - Farklı bağlantı noktası
• https://example.com/foo.html - Farklı düzen
• http://www.example.com/foo.html - Farklı alt etki alanı

Not

Internet Explorer çıkış noktalarını karşılaştırırken bağlantı noktasını dikkate almaz.

WebService projesini oluşturma

Not

Bu bölümde, Web API'si projelerini oluşturmayı zaten bildiğiniz varsayılır. Aksi takdirde bkz. ASP.NET Web API'sini Kullanmaya Başlama.

1. Visual Studio'yu başlatın ve yeni bir ASP.NET Web Uygulaması (.NET Framework) projesi oluşturun.

2. Yeni ASP.NET Web Uygulaması iletişim kutusunda Boş proje şablonunu seçin. Klasör ve çekirdek başvuruları ekle'nin altında Web API'sini onay kutusunu seçin.

   

3. Adlı TestController bir Web API denetleyicisini aşağıdaki kodla ekleyin:

   using System.Net.Http;
   using System.Web.Http;
   
   namespace WebService.Controllers
   {
       public class TestController : ApiController
       {
           public HttpResponseMessage Get()
           {
               return new HttpResponseMessage()
               {
                   Content = new StringContent("GET: Test message")
               };
           }
   
           public HttpResponseMessage Post()
           {
               return new HttpResponseMessage()
               {
                   Content = new StringContent("POST: Test message")
               };
           }
   
           public HttpResponseMessage Put()
           {
               return new HttpResponseMessage()
               {
                   Content = new StringContent("PUT: Test message")
               };
           }
       }
   }
   

4. Uygulamayı yerel olarak çalıştırabilir veya Azure'a dağıtabilirsiniz. (Bu öğreticideki ekran görüntüleri için uygulama Azure App Service Web Apps dağıtılır.) Web API'sinin çalıştığını doğrulamak için adresine gidinhttp://hostname/api/test/. Burada konak adı, uygulamayı dağıttığınız etki alanıdır. "GET: Test İletisi" yanıt metnini görmeniz gerekir.

   

WebClient projesini oluşturma

1. Başka bir ASP.NET Web Uygulaması (.NET Framework) projesi oluşturun ve MVC proje şablonunu seçin. İsteğe bağlı olarak Kimlik Doğrulamayı Değiştir Kimlik Doğrulaması>Yok'u seçin. Bu öğretici için kimlik doğrulaması gerekmez.

   

2. Çözüm Gezgini'daViews/Home/Index.cshtml dosyasını açın. Bu dosyadaki kodu aşağıdakilerle değiştirin:

   <div>
       <select id="method">
           <option value="get">GET</option>
           <option value="post">POST</option>
           <option value="put">PUT</option>
       </select>
       <input type="button" value="Try it" onclick="sendRequest()" />
       <span id='value1'>(Result)</span>
   </div>
   
   @section scripts {
   <script>
       // TODO: Replace with the URL of your WebService app
       var serviceUrl = 'http://mywebservice/api/test'; 
   
       function sendRequest() {
           var method = $('#method').val();
   
           $.ajax({
               type: method,
               url: serviceUrl
           }).done(function (data) {
               $('#value1').text(data);
           }).fail(function (jqXHR, textStatus, errorThrown) {
               $('#value1').text(jqXHR.responseText || textStatus);
           });
       }
   </script>
   }
   

   serviceUrl değişkeni için WebService uygulamasının URI'sini kullanın.

3. WebClient uygulamasını yerel olarak çalıştırın veya başka bir web sitesinde yayımlayın.

"Deneyin" düğmesine tıkladığınızda, açılan kutuda listelenen HTTP yöntemi (GET, POST veya PUT) kullanılarak WebService uygulamasına bir AJAX isteği gönderilir. Bu, farklı çıkış noktaları arası istekleri incelemenize olanak tanır. Şu anda WebService uygulaması CORS'yi desteklemediğinden düğmeye tıklarsanız hata alırsınız.

Not

HTTP trafiğini Fiddler gibi bir araçta watch, tarayıcının GET isteğini gönderdiğini ve isteğin başarılı olduğunu ancak AJAX çağrısının bir hata döndürdüğünü görürsünüz. Aynı kaynak ilkesinin tarayıcının isteği göndermesini engellemediğini anlamak önemlidir. Bunun yerine, uygulamanın yanıtı görmesini engeller.

CORS'yi etkinleştirme

Şimdi WebService uygulamasında CORS'yi etkinleştirelim. İlk olarak CORS NuGet paketini ekleyin. Visual Studio'da Araçlar menüsünde NuGet Paket Yöneticisi'ni ve ardından Paket Yöneticisi Konsolu'nu seçin. Paket Yöneticisi Konsolu penceresinde aşağıdaki komutu yazın:

Install-Package Microsoft.AspNet.WebApi.Cors

Bu komut en son paketi yükler ve çekirdek Web API'si kitaplıkları dahil olmak üzere tüm bağımlılıkları güncelleştirir. Belirli bir sürümü hedeflemek için bayrağını -Version kullanın. CORS paketi için Web API 2.0 veya üzeri gerekir.

App_Start/WebApiConfig.cs dosyasını açın. WebApiConfig.Register yöntemine aşağıdaki kodu ekleyin:

using System.Web.Http;
namespace WebService
{
    public static class WebApiConfig
    {
        public static void Register(HttpConfiguration config)
        {
            // New code
            config.EnableCors();

            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );
        }
    }
}

Ardından sınıfa [EnableCors] özniteliğini TestController ekleyin:

using System.Net.Http;
using System.Web.Http;
using System.Web.Http.Cors;

namespace WebService.Controllers
{
    [EnableCors(origins: "http://mywebclient.azurewebsites.net", headers: "*", methods: "*")]
    public class TestController : ApiController
    {
        // Controller methods not shown...
    }
}

origins parametresi için WebClient uygulamasını dağıttığınız URI'yi kullanın. Bu, diğer tüm etki alanları arası isteklere izin vermese de WebClient'dan çıkış noktaları arası isteklere izin verir. Daha sonra [EnableCors] parametrelerini daha ayrıntılı olarak açıklayacağım.

Kaynak URL'sinin sonuna eğik çizgi eklemeyin.

Güncelleştirilmiş WebService uygulamasını yeniden dağıtın. WebClient'ı güncelleştirmeniz gerekmez. Artık WebClient'tan gelen AJAX isteği başarılı olmalıdır. GET, PUT ve POST yöntemlerinin tümüne izin verilir.

CORS Nasıl Çalışır?

Bu bölümde, BIR CORS isteğinde HTTP iletileri düzeyinde neler olduğu açıklanmaktadır. [ EnableCors] özniteliğini doğru yapılandırabilmeniz ve işlerin beklediğiniz gibi çalışmaması durumunda sorun giderebilmeniz için CORS'nin nasıl çalıştığını anlamak önemlidir.

CORS belirtimi, çıkış noktaları arası istekleri etkinleştiren birkaç yeni HTTP üst bilgisi sağlar. Bir tarayıcı CORS'yi destekliyorsa, çıkış noktaları arası istekler için bu üst bilgileri otomatik olarak ayarlar; JavaScript kodunuzda özel bir şey yapmanız gerekmez.

Çıkış noktaları arası istek örneği aşağıda verilmiştir. "Origin" üst bilgisi, isteği yapan sitenin etki alanını verir.

GET http://myservice.azurewebsites.net/api/test HTTP/1.1
Referer: http://myclient.azurewebsites.net/
Accept: */*
Accept-Language: en-US
Origin: http://myclient.azurewebsites.net
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
Host: myservice.azurewebsites.net

Sunucu isteğe izin veriyorsa Access-Control-Allow-Origin üst bilgisini ayarlar. Bu üst bilginin değeri Origin üst bilgisi ile eşleşir veya "*" joker karakter değeridir ve bu da herhangi bir kaynak için izin verilip verilmediğini gösterir.

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: text/plain; charset=utf-8
Access-Control-Allow-Origin: http://myclient.azurewebsites.net
Date: Wed, 05 Jun 2013 06:27:30 GMT
Content-Length: 17

GET: Test message

Yanıt Access-Control-Allow-Origin üst bilgisini içermiyorsa, AJAX isteği başarısız olur. Özellikle, tarayıcı isteğe izin vermemektedir. Sunucu başarılı bir yanıt döndürse bile, tarayıcı yanıtı istemci uygulaması için kullanılabilir hale getirmez.

Denetim Öncesi İstekleri

Bazı CORS istekleri için tarayıcı, kaynak için gerçek isteği göndermeden önce "denetim öncesi isteği" adlı ek bir istek gönderir.

Aşağıdaki koşullar doğruysa tarayıcı denetim öncesi isteğini atlayabilir:

• İstek yöntemi GET, HEAD veya POST ve

• Uygulama Accept, Accept-Language, Content-Language, Content-Type veya Last-Event-ID dışında bir istek üst bilgisi ayarlamaz ve

• Content-Type üst bilgisi (ayarlandıysa) aşağıdakilerden biridir:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • metin/düz

İstek üst bilgileriyle ilgili kural, XMLHttpRequest nesnesinde setRequestHeader çağrısı yaparak uygulamanın ayarladığı üst bilgiler için geçerlidir. (CORS belirtimi bu "yazar isteği üst bilgilerini" çağırır.) Kural, tarayıcının ayarlayabileceğiniz User-Agent, Host veya Content-Length gibi üst bilgiler için geçerli değildir.

Burada bir denetim öncesi isteği örneği verilmiştir:

OPTIONS http://myservice.azurewebsites.net/api/test HTTP/1.1
Accept: */*
Origin: http://myclient.azurewebsites.net
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: accept, x-my-custom-header
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
Host: myservice.azurewebsites.net
Content-Length: 0

Uçuş öncesi isteği HTTP OPTIONS yöntemini kullanır. İki özel üst bilgi içerir:

• Access-Control-Request-Method: Gerçek istek için kullanılacak HTTP yöntemi.
• Access-Control-Request-Headers: Uygulamanın gerçek istekte ayarlandığı istek üst bilgilerinin listesi. (Bu, tarayıcının ayardığı üst bilgileri içermez.)

Sunucunun isteğe izin verdiği varsayılarak örnek bir yanıt aşağıda verilmiştir:

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Length: 0
Access-Control-Allow-Origin: http://myclient.azurewebsites.net
Access-Control-Allow-Headers: x-my-custom-header
Access-Control-Allow-Methods: PUT
Date: Wed, 05 Jun 2013 06:33:22 GMT

Yanıt, izin verilen yöntemleri listeleyen bir Access-Control-Allow-Methods üst bilgisi ve isteğe bağlı olarak izin verilen üst bilgileri listeleyen bir Access-Control-Allow-Headers üst bilgisi içerir. Denetim öncesi isteği başarılı olursa, tarayıcı daha önce açıklandığı gibi gerçek isteği gönderir.

Denetim öncesi SEÇENEKLER istekleriyle uç noktaları test etmek için yaygın olarak kullanılan araçlar (örneğin, Fiddler ve Postman) varsayılan olarak gerekli OPTIONS üst bilgilerini göndermez. Access-Control-Request-Method ve Access-Control-Request-Headers üst bilgilerinin istekle birlikte gönderildiğini ve OPTIONS üst bilgilerinin IIS aracılığıyla uygulamaya ulaştığını onaylayın.

IIS'yi bir ASP.NET uygulamasının OPTION isteklerini almasına ve işlemesine izin verecek şekilde yapılandırmak için, bölümünde uygulamanın web.config dosyasına aşağıdaki yapılandırmayı <system.webServer><handlers> ekleyin:

<system.webServer>
  <handlers>
    <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
    <remove name="OPTIONSVerbHandler" />
    <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
  </handlers>
</system.webServer>

öğesinin OPTIONSVerbHandler kaldırılması, IIS'nin OPTIONS isteklerini işlemesini engeller. varsayılan modül kaydı yalnızca uzantısız URL'ler ile GET, HEAD, POST ve DEBUG isteklerine izin verdiğinden, öğesinin ExtensionlessUrlHandler-Integrated-4.0 değiştirilmesi OPTIONS isteklerinin uygulamaya ulaşmasını sağlar.

[EnableCors] için Kapsam Kuralları

CorS'yi eylem başına, denetleyici başına veya uygulamanızdaki tüm Web API denetleyicileri için genel olarak etkinleştirebilirsiniz.

Eylem Başına

CORS'yi tek bir eylemde etkinleştirmek için eylem yönteminde [EnableCors] özniteliğini ayarlayın. Aşağıdaki örnek yalnızca yöntemi için CORS'yi GetItem etkinleştirir.

public class ItemsController : ApiController
{
    public HttpResponseMessage GetAll() { ... }

    [EnableCors(origins: "http://www.example.com", headers: "*", methods: "*")]
    public HttpResponseMessage GetItem(int id) { ... }

    public HttpResponseMessage Post() { ... }
    public HttpResponseMessage PutItem(int id) { ... }
}

Denetleyici Başına

Denetleyici sınıfında [EnableCors] ayarını yaparsanız, denetleyicideki tüm eylemler için geçerlidir. Bir eylemde CORS'yi devre dışı bırakmak için eyleme [DisableCors] özniteliğini ekleyin. Aşağıdaki örnek, dışındaki PutItemher yöntem için CORS'yi etkinleştirir.

[EnableCors(origins: "http://www.example.com", headers: "*", methods: "*")]
public class ItemsController : ApiController
{
    public HttpResponseMessage GetAll() { ... }
    public HttpResponseMessage GetItem(int id) { ... }
    public HttpResponseMessage Post() { ... }

    [DisableCors]
    public HttpResponseMessage PutItem(int id) { ... }
}

Genel olarak

CorS'yi uygulamanızdaki tüm Web API denetleyicileri için etkinleştirmek için EnableCors yöntemine bir EnableCorsAttribute örneği geçirin:

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        var cors = new EnableCorsAttribute("www.example.com", "*", "*");
        config.EnableCors(cors);
        // ...
    }
}

Özniteliği birden fazla kapsamda ayarlarsanız öncelik sırası:

1. Eylem
2. Denetleyici
3. Genel

İzin verilen çıkış noktalarını ayarlama

[EnableCors] özniteliğinin origins parametresi kaynağa erişmesine izin verilen kaynakları belirtir. değer, izin verilen çıkış noktalarının virgülle ayrılmış bir listesidir.

[EnableCors(origins: "http://www.contoso.com,http://www.example.com", 
    headers: "*", methods: "*")]

Herhangi bir kaynaktan gelen isteklere izin vermek için "*" joker değerini de kullanabilirsiniz.

Herhangi bir kaynaktan gelen isteklere izin vermeden önce dikkatli düşünün. Bu, herhangi bir web sitesinin web API'nize AJAX çağrıları yapacağı anlamına gelir.

// Allow CORS for all origins. (Caution!)
[EnableCors(origins: "*", headers: "*", methods: "*")]

İzin verilen HTTP yöntemlerini ayarlama

[EnableCors] özniteliğinin methods parametresi, hangi HTTP yöntemlerinin kaynağa erişmesine izin verileceği belirtir. Tüm yöntemlere izin vermek için "*" joker değerini kullanın. Aşağıdaki örnek yalnızca GET ve POST isteklerine izin verir.

[EnableCors(origins: "http://www.example.com", headers: "*", methods: "get,post")]
public class TestController : ApiController
{
    public HttpResponseMessage Get() { ... }
    public HttpResponseMessage Post() { ... }
    public HttpResponseMessage Put() { ... }    
}

İzin verilen istek üst bilgilerini ayarlama

Bu makalede, bir denetim öncesi isteğinin, uygulama tarafından ayarlanan HTTP üst bilgilerini ("yazar isteği üst bilgileri") listeleyen bir Access-Control-Request-Headers üst bilgisini nasıl içerebileceği daha önce açıklanmıştır. [EnableCors] özniteliğinin headers parametresi hangi yazar isteği üst bilgilerine izin verileceği belirtir. Herhangi bir üst bilgiye izin vermek için üst bilgileri "*" olarak ayarlayın. Belirli üst bilgilere izin vermek için , üst bilgileri izin verilen üst bilgilerin virgülle ayrılmış bir listesine ayarlayın:

[EnableCors(origins: "http://example.com", 
    headers: "accept,content-type,origin,x-my-header", methods: "*")]

Ancak, tarayıcılar Access-Control-Request-Headers'ı ayarlama yöntemlerinde tamamen tutarlı değildir. Örneğin, Chrome şu anda "origin" içerir. FireFox, uygulama bunları betikte ayarlarken bile "Accept" gibi standart üst bilgiler içermez.

Üst bilgileri "*" dışında bir değere ayarlarsanız, en azından "accept", "content-type" ve "origin" değerlerinin yanı sıra desteklemek istediğiniz özel üst bilgileri de eklemeniz gerekir.

İzin verilen yanıt üst bilgilerini ayarlama

Varsayılan olarak, tarayıcı tüm yanıt üst bilgilerini uygulamaya sunmaz. Varsayılan olarak kullanılabilen yanıt üst bilgileri şunlardır:

• Cache-Control
• İçerik Dili
• İçerik Türü
• Süre Sonu
• Last-Modified
• Pragma

CORS belirtimi bu basit yanıt üst bilgilerini çağırır. Diğer üst bilgileri uygulamanın kullanımına açmak için [EnableCors] öğesinin exposedHeaders parametresini ayarlayın.

Aşağıdaki örnekte, denetleyicinin Get yöntemi 'X-Custom-Header' adlı özel bir üst bilgi ayarlar. Varsayılan olarak, tarayıcı çıkış noktaları arası bir istekte bu üst bilgiyi kullanıma sunmaz. Üst bilgiyi kullanılabilir hale getirmek için exposedHeaders'a 'X-Custom-Header' ekleyin.

[EnableCors(origins: "*", headers: "*", methods: "*", exposedHeaders: "X-Custom-Header")]
public class TestController : ApiController
{
    public HttpResponseMessage Get()
    {
        var resp = new HttpResponseMessage()
        {
            Content = new StringContent("GET: Test message")
        };
        resp.Headers.Add("X-Custom-Header", "hello");
        return resp;
    }
}

Çıkış noktaları arası isteklerde kimlik bilgilerini geçirme

Kimlik bilgileri bir CORS isteğinde özel işleme gerektirir. Varsayılan olarak, tarayıcı çıkış noktaları arası istek içeren hiçbir kimlik bilgisi göndermez. Kimlik bilgileri, tanımlama bilgilerinin yanı sıra HTTP kimlik doğrulama düzenlerini içerir. Çıkış noktaları arası istekle kimlik bilgileri göndermek için istemcinin XMLHttpRequest.withCredentials değerini true olarak ayarlaması gerekir.

XMLHttpRequest'i doğrudan kullanma:

var xhr = new XMLHttpRequest();
xhr.open('get', 'http://www.example.com/api/test');
xhr.withCredentials = true;

jQuery'de:

$.ajax({
    type: 'get',
    url: 'http://www.example.com/api/test',
    xhrFields: {
        withCredentials: true
    }

Ayrıca, sunucunun kimlik bilgilerine izin vermesi gerekir. Web API'sinde çıkış noktaları arası kimlik bilgilerine izin vermek için, [EnableCors] özniteliğinde SupportsCredentials özelliğini true olarak ayarlayın:

[EnableCors(origins: "http://myclient.azurewebsites.net", headers: "*", 
    methods: "*", SupportsCredentials = true)]

Bu özellik true ise, HTTP yanıtı bir Access-Control-Allow-Credentials üst bilgisi içerir. Bu üst bilgi tarayıcıya sunucunun çıkış noktaları arası istek için kimlik bilgilerine izin verdiği bilgisini verir.

Tarayıcı kimlik bilgilerini gönderirse ancak yanıt geçerli bir Access-Control-Allow-Credentials üst bilgisi içermiyorsa, tarayıcı yanıtı uygulamaya sunmaz ve AJAX isteği başarısız olur.

SupportsCredentials'ı true olarak ayarlama konusunda dikkatli olun çünkü bu, başka bir etki alanındaki bir web sitesinin oturum açmış bir kullanıcının kimlik bilgilerini kullanıcının haberi olmadan kullanıcının adına Web API'nize gönderebileceği anlamına gelir. CORS belirtimi ayrıca SupportsCredentials true olduğunda çıkış noktalarının "*" olarak ayarlanmasının geçersiz olduğunu belirtir.

Özel CORS ilke sağlayıcıları

[EnableCors] özniteliği ICorsPolicyProvider arabirimini uygular. Öznitelik'ten türetilen ve ICorsPolicyProvider uygulayan bir sınıf oluşturarak kendi uygulamanızı sağlayabilirsiniz.

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, AllowMultiple = false)]
public class MyCorsPolicyAttribute : Attribute, ICorsPolicyProvider 
{
    private CorsPolicy _policy;

    public MyCorsPolicyAttribute()
    {
        // Create a CORS policy.
        _policy = new CorsPolicy
        {
            AllowAnyMethod = true,
            AllowAnyHeader = true
        };

        // Add allowed origins.
        _policy.Origins.Add("http://myclient.azurewebsites.net");
        _policy.Origins.Add("http://www.contoso.com");
    }

    public Task<CorsPolicy> GetCorsPolicyAsync(HttpRequestMessage request)
    {
        return Task.FromResult(_policy);
    }
}

Artık özniteliğini [EnableCors] yerleştirebileceğiniz herhangi bir yere uygulayabilirsiniz.

[MyCorsPolicy]
public class TestController : ApiController
{
    .. //

Örneğin, özel bir CORS ilke sağlayıcısı yapılandırma dosyasından ayarları okuyabilir.

Öznitelikleri kullanmaya alternatif olarak, ICorsPolicyProvider nesneleri oluşturan bir ICorsPolicyProviderFactory nesnesi kaydedebilirsiniz.

public class CorsPolicyFactory : ICorsPolicyProviderFactory
{
    ICorsPolicyProvider _provider = new MyCorsPolicyProvider();

    public ICorsPolicyProvider GetCorsPolicyProvider(HttpRequestMessage request)
    {
        return _provider;
    }
}

ICorsPolicyProviderFactory'yi ayarlamak için başlangıçta aşağıdaki gibi SetCorsPolicyProviderFactory uzantısı yöntemini çağırın:

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        config.SetCorsPolicyProviderFactory(new CorsPolicyFactory());
        config.EnableCors();

        // ...
    }
}

Tarayıcı desteği

Web API CORS paketi bir sunucu tarafı teknolojisidir. Kullanıcının tarayıcısının da CORS'yi desteklemesi gerekir. Neyse ki tüm ana tarayıcıların geçerli sürümleri CORS desteğini içerir.