C#跨域核心是后端配置Access-Control-Allow-Origin等响应头，ASP.NET Core需在Program.cs中三步完成：AddCors注册策略、UseCors启用且位置在UseAuthorization前、策略中禁用AllowAnyOrigin与AllowCredentials组合；Web API 2则依赖EnableCorsAttribute全局或控制器级配置。

直接说结论：C# 处理跨域问题，核心是让服务器在响应头中正确返回 Access-Control-Allow-Origin 等 CORS 相关字段——但**不能靠前端“改请求”解决，必须后端主动配置**；不同 C# 框架（.NET Framework Web API vs ASP.NET Core）配置方式完全不同，混用会导致 403 或预检失败。

ASP.NET Core 项目：在 Program.cs 中配策略 + 中间件

这是当前主流方案（.NET 6+），必须三步全做，缺一不可：

• builder.Services.AddCors()：注册服务并定义命名策略（比如叫 "AllowFrontend"）
• 策略里明确指定源（.WithOrigins("http://localhost:5173")），禁止用 .AllowAnyOrigin() 配合 .AllowCredentials()（会直接报错）
• app.UseCors("AllowFrontend")：必须放在 app.UseAuthorization() 之前，否则不生效

var builder = WebApplication.CreateBuilder(args);
builder.Services.AddCors(options =>
{
    options.AddPolicy("AllowFrontend", policy =>
    {
        policy.WithOrigins("http://localhost:5173", "https://prod.myapp.com")
              .AllowAnyHeader()
              .AllowAnyMethod()
              .AllowCredentials(); // 若需带 cookie/token，必须指定具体源，不能用 "*"
    });
});
builder.Services.AddControllers();
var app = builder.Build();
app.UseCors("AllowFrontend"); // ⚠️ 位置很关键：必须在 UseAuthorization 之前
app.UseAuthorization();
app.MapControllers();
app.Run();

Web API 2（.NET Framework）：用 Microsoft.AspNet.WebApi.Cors 包

老项目常见，依赖 NuGet 包，且配置入口在 Global.asax.cs 或 WebApiConfig.cs：

• 先安装包：Install-Package Microsoft.AspNet.WebApi.Cors
• 全局启用：在 GlobalConfiguration.Configuration.EnableCors() 中传入 EnableCorsAttribute
• 注意通配符风险：new EnableCorsAttribute("*", "*", "*") 在生产环境等同于裸奔，尤其带认证时会失效
• 更安全的做法是控制器粒度控制：[EnableCors(origins: "http://localhost:3000", headers: "*", methods: "*")]

// WebApiConfig.cs
public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        var cors = new EnableCorsAttribute(
            origins: "http://localhost:3000",
            headers: "Content-Type,Authorization,X-Requested-With",
            methods: "GET,POST,PUT,DELETE,OPTIONS");
        config.EnableCors(cors);
    config.Routes.MapHttpRoute(
        name: "DefaultApi",
        routeTemplate: "api/{controller}/{id}",
        defaults: new { id = RouteParameter.Optional }
    );
}
}
遇到 OPTIONS 预检失败？检查这三点
浏览器对非简单请求（如带 Authorization 头、Content-Type: application/json）会先发 OPTIONS 请求。失败通常因为：

CORS 中间件没覆盖到 OPTIONS 路由（ASP.NET Core 中 UseCors 必须在 UseRouting 之后、UseEndpoints 之前）
策略中没显式允许 OPTIONS 方法（.WithMethods("GET", "POST", "OPTIONS")）
IIS 或反向代理（如 Nginx）截断了响应头，或自己写了 web.config 但 Access-Control-Allow-Methods 值里漏了 OPTIONS


别踩这些坑
很多问题不是 CORS 配错了，而是被其他机制干扰：


AllowCredentials = true 时，WithOrigins 不能写 "*"，否则浏览器直接拒绝——必须列明具体协议+域名+端口

前端用 fetch 发送带凭据的请求，必须加 credentials: "include"，否则后端收不到 cookie

IIS 部署时，若用 web.config 手动加响应头，要确认  节点没被上级配置覆盖
本地开发用 Vue/React 的 devServer.proxy 是临时绕过 CORS 的前端方案，上线必须切回真实 CORS 配置

最常被忽略的一点：CORS 是浏览器强制执行的安全策略，Postman、curl、后端调用完全不受影响——所以测试一定要用真实页面打开，看浏览器开发者工具 Network 标签页里的请求头和响应头是否完整出现 Access-Control-Allow-* 字段。
						
		



# vue 
# react 
# js 
# 前端 
# json 
# nginx 
# cookie 
# 浏览器 
# app 
# access 
# 端口 
# 工具 
# iis 
# 中间件 
# postman 
# include 
# cURL 
# http 
# microsoft 
 







相关栏目：
    【
        公司新闻    】
    【
        行业动态    】
    【
        常见问题    】
    【
        技术学院    】
    【
        推广学院    】
    【
        AI模型    】






相关推荐：
如何在Golang中捕获HTTP服务器错误_GolangHTTP Handler中error处理 
PHP 中如何在函数内持久修改引用变量所指向的目标 
Windows10怎么查看系统激活状态_Windows10激活状态查看方法【教程】 
Windows蓝屏错误0x0000002C怎么解决_系统IO异常排查方法 
Win11怎么更改电脑密码_Windows 11修改本地账户密码【步骤】 
如何在Golang中处理指针与接口_实现动态类型引用 
c++如何使用std::bitset进行位图算法_c++ 快速查找与大规模数据排重【方法】 
Python 模块的 __name__ 属性如何由导入方式决定？ 
短链接还原php提示内存不足_调整PHP内存限制设置【技巧】 
Win11怎么更改任务栏颜色_Windows11个性化重音色设置 
Win11此电脑不在桌面上_Windows 11桌面图标设置找回【步骤】 
C#如何在一个XML文件中查找并替换文本内容 
Win11怎么设置虚拟内存最佳大小_Windows11性能选项自定义分页文件 
windows 10应用商店区域怎么改_windows 10微软商店切换地区方法 
Laravel 查询 JSON 列中是否包含数组任意值的两种高效方案 
如何在 Go 后端安全获取并验证前端存储的 JWT？ 
Win11怎么设置默认浏览器Chrome_Windows11修改默认网页打开方式 
如何在 Go 中安全地将 C 风格的 char 数组转换为 Go 原生字节数组 
如何使用Golang ticker和channel组合实现并发定时器_周期性任务管理 
如何在 Go 中判断变量是否为函数类型 
Mac的访达（Finder）怎么用_Mac文件管理入门教程【详解】 
Python文件和流处理指南_高效读写大体积数据文件 
Win10怎么更改用户名 Win10修改账户名称操作教程 
Win11怎么解压RAR文件 Win11自带解压功能使用方法 
Win11怎么设置默认图片查看器_Windows11照片应用关联设置 
Windows10如何更改任务栏高度_Win10解除锁定调整大小 
Mac怎么安装软件_Mac安装dmg与pkg文件的区别【指南】 
如何高效获取循环末次生成的 NumPy 数组最后一个元素（无需额外循环） 
Win11怎么设置右键刷新选项_Windows11显示更多选项技巧 
Windows10蓝屏代码DPC_WATCHDOG_VIOLATION_Win10死机修复指南 
Python装饰器复用技巧_通用能力解析【教程】 
Python随机数生成_random模块说明【指导】 
Win11怎么压缩文件 Win11自带压缩解压功能使用【教程】 
如何在Golang中使用time处理时间_Golang time时间解析与格式化方法 
Win11怎么检查TPM2.0模块_Windows11受信任平台模块开启状态查询 
微信企业付款回调PHP怎么接收_处理企业付款异步通知数据教程【教程】 
php命令行怎么运行_通过CLI模式执行PHP脚本的步骤【说明】 
电脑的“网络和共享中心”去哪了_Windows 11新版网络设置指南【新手】 
如何在 Go 中高效缓存与分发网络视频流 
如何使用Golang实现云原生应用弹性伸缩_自动应对流量变化 
如何获取数组中最近的到期日期（排除无效日期） 
Windows驱动无法加载错误解决方法_驱动签名验证失败处理步骤 
c++如何使用std::bind绑定函数参数_c++ 占位符std::placeholders使用【详解】 
如何在 PHP 单元测试中正确模拟带方法的图像处理门面（Facade） 
Win11怎么关闭贴靠布局_Win11禁用窗口最大化时的布局菜单 
php与c语言在嵌入式中有何区别_对比两者在硬件控制的优劣【详解】 
Golang如何测试HTTP中间件_Golang HTTP中间件功能测试实践 
如何在JavaScript中动态拼接PHP的base_url与jQuery变量 
如何在Golang中使用闭包_封装变量与函数作用域 
SAX解析器是什么，它与DOM在处理大型XML文件时有何不同？