のために有用である、Owin StartupファイルでCORSを有効に:私は、2つの有価証券以下のためのその使用を理解app.UseCorsは、Web APIではどのセキュリティコンテキスト
app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
、それは正しい理解でしょうか?
1)WEB APIから他のドメインWeb API要求を許可しますか? (ウェブAPIからのリクエスト)
2)このWeb APIの他のドメインからのjavascriptリクエストを受け入れますか? (Web APIからの着信要求)
APIのセキュリティコンテキストを確保したいと思います。
CORSは、クロスオリジンリソース共有を意味します。これは、別のoriginが現在の発信元に要求し、この発信元がその要求を受け入れて応答を返すことができる場合です。あなたの起源といくつかの起源を動作させることを許可することができ、セキュリティ上の理由から起きることはできません。
あなたが言及した第2のケースは、CORSという意味には関係しません。 Wikipedia
CORSから
は、ブラウザとサーバが
最初のケースが真のクロスオリジン・リクエストを許可しても安全であるかどうかを判断 に対話することができる方法を定義します2番目のケースはどうですか?Javascriptリクエストだけでなく、別のサーバーまたはウェブAPIからのリクエスト(別のオリジンを持つこともできます)
それで、2番目のポイント、WEB APIが(任意の起源/ドメインを持つ)任意のクライアントからの要求を受け入れるためには、メインWEB API(クライアントが要求している)でCorsを有効にする必要がありますか?それが正しいか ?私のAPIはさまざまな起点APIによって消費されるため、要求を受け入れる必要があります。 – user3711357
@ user3711357はい、サーバー側からCORSが有効になっています。これは、サーバーを安全にするためのものです。 –
意味をなさないありがとう。 corss起源シナリオから要求されるように、Web APIでCorsを有効にする必要があります。 – user3711357
着信APIコールのセキュリティレベルを定義しますs。他の起源を許可するか否か。 – Archer