mvc web api只允許來自同一服務器的請求

Question

我正在構建一個mvc應用程序，我正在製作一個api控制器以允許來自我的一些前端頁面的ajax請求。我想限制api控制器操作只允許來自我的服務器的請求（所以人們不能從他們自己的站點調用我的api）。

經過一番周圍搜索，我發現了許多解決方案提出了一個自定義的授權屬性，這是我做：

public class LocalRequestOnlyAttribute : AuthorizeAttribute 
    { 
    protected override bool AuthorizeCore(HttpContextBase context) 
      { 
       return context.Request.IsLocal; 
      } 
} 

，然後用[LocalRequestOnly]

它正常工作在本地主機上把它扔到了我的控制器動作，但我的AWS服務器上，這是行不通的，Ajax請求回來爲錯誤

編輯 - 詳細：

我正在使用具有相對路徑的主機名。所以我的ajax調用的網址是「/ api/getdata」。 我沒有設置任何ajax請求標頭。 我回來的錯誤是No 'Access-Control-Allow-Origin' header is present on the requested resource.

Answer 1

爲了將api控制器操作限制爲僅允許來自服務器的請求，您應該什麼都不做。我相信Ajax請求中引發的錯誤是與瀏覽器拒絕跨源HTTP請求（來自其他服務器的請求）相關的錯誤。所以你所要做的就是添加一個錯誤處理程序（一個try塊），以便在創建一個跨源HTTP請求時存在Ajax邏輯。 閱讀此：https://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api

Answer 2

我不知道如何解決問題，但您的解決方案無法正常工作，因爲IsLocal不符合您的期望。這裏是它的文檔：https://msdn.microsoft.com/en-us/library/system.web.httprequest.islocal(v=vs.110).aspx

IsLocal檢查客戶端和服務器是否在同一臺計算機上。所以如果你在你的亞馬遜服務器上瀏覽鉻，這將工作。你要做的是防止跨源請求。

Answer 3

你不需要做任何事情。默認情況下，Web API只允許來自同一個域的請求，CORS不受支持。

Answer 4

否「訪問控制允許來源」標題存在於所請求的資源

表示 1.你的服務器拒絕跨來源HTTP請求。這是你尋找的行爲，對吧？ 2.您的服務器要求CORS允許從不同域訪問資源（您的API控制器），但沒有找到必要的Access-Control-Allow-Origin響應標頭，該標頭指示是否可以與資源共享響應在其他域名上的腳本）與給定的來源。

這個「錯誤」，在我看來，不是錯誤代碼的結果。同樣，你應該定義一個方法來處理這種失敗，當你對服務器進行Ajax調用時，它（這個方法）應該正常退出。

Answer 5

你不能阻止它，因爲Http是無狀態的，只有檢查該請求是來自服務器或站點的請求的方法 - 使用Http標頭，但這些標頭不可信，因爲它們可以通過服務器端編碼進行手動設置。

但是，通過禁用CORS並檢查這些Http頭像Referer（包含從哪裏發出Ajax請求的網頁的地址），User-Agent和X-Requested-With（設置爲XMLHttpRequest for ajax要求）。