CORS customheaders 不工作 405 Method Not Allowed
Posted
技术标签:
【中文标题】CORS customheaders 不工作 405 Method Not Allowed【英文标题】:CORS customheaders is not working 405 Method Not Allowed 【发布时间】:2018-07-15 03:22:24 【问题描述】:有一个用 C# 编写的 WCF Web 服务,带有两个端点(SOAP + rest)。两种服务都需要一个名为“token”的自定义标头字段。 javascript 代码无法发送此自定义标头。响应是405 Method Not Allowed。这是跨平台起源问题的错误。
我已经寻找了一些解决方案,但没有任何效果。我试图通过在我的 localhost 环境中尝试一些代码片段来解决这个问题。
这是我的 localhost webservice 的 web.config:
<?xml version="1.0"?>
<configuration>
<appSettings>
<add key="aspnet:UseTaskFriendlySynchronizationContext" value="true" />
</appSettings>
<system.web>
<compilation debug="true" targetFramework="4.5.1" />
<httpRuntime targetFramework="4.5.1"/>
<customErrors mode="Off"/>
</system.web>
<system.runtime.caching>
<memoryCache>
<namedCaches>
<add name="Default" physicalMemoryLimitPercentage="10" cacheMemoryLimitMegabytes="128" />
</namedCaches>
</memoryCache>
</system.runtime.caching>
<system.serviceModel>
<services>
<service name="MyProject.TokenTestService.Service"
behaviorConfiguration="ServiceAuthBehaviorHttp"
>
<endpoint address=""
binding="basicHttpBinding"
bindingConfiguration="BasicHttpBindingLocalhost"
contract="MyProject.TokenTestService.IService"
/>
<endpoint address="rest"
behaviorConfiguration="AjaxEnabledBehavior"
binding="webHttpBinding"
bindingConfiguration="webBindingLocalhost"
contract="MyProject.TokenTestService.IService"
/>
<endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
</service>
</services>
<behaviors>
<endpointBehaviors>
<behavior name="AjaxEnabledBehavior">
<webHttp helpEnabled="true" />
</behavior>
</endpointBehaviors>
<serviceBehaviors>
<behavior>
<serviceMetadata httpGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true"/>
</behavior>
<behavior name="ServiceAuthBehaviorHttp">
<serviceMetadata httpGetEnabled="true" httpsGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true" />
<TokenValidationServiceExtension ApplicationId="2" CachingTimeInSeconds="3600" />
</behavior>
</serviceBehaviors>
</behaviors>
<extensions>
<behaviorExtensions>
<add
name="TokenValidationServiceExtension"
type="MyProject.Authentication.Common.Extensions.TokenValidationServiceBehaviorExtension, MyProject.Authentication.Common" />
</behaviorExtensions>
</extensions>
<bindings>
<basicHttpBinding>
<binding name="BasicHttpBinding_IAuthServiceSoap">
<security mode="Transport" />
</binding>
<binding name="BasicHttpBinding_IAuthServiceSoapLocalhost" />
<binding name="BasicHttpBindingLocalhost" />
</basicHttpBinding>
<webHttpBinding>
<binding name="webBindingLocalhost" crossDomainScriptAccessEnabled="true" />
</webHttpBinding>
</bindings>
<protocolMapping>
<add binding="basicHttpsBinding" scheme="https" />
</protocolMapping>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
</system.serviceModel>
<system.webServer>
<modules runAllManagedModulesForAllRequests="true"/>
<directoryBrowse enabled="true"/>
<httpProtocol>
<customHeaders>
<add name="Origin" value="localhost" />
<add name="Access-Control-Allow-Origin" value="*" />
<add name="Access-Control-Allow-Methods" value="GET, POST, OPTIONS" />
<add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept, Token, ApplicationPriviliges" />
<add name="Access-Control-Max-Age" value="1728000" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
这是javascript代码:
<script>
$.ajax(
url: "http://localhost:14305/Service.svc/rest/GetDataAdmin",
type: "GET",
crossDomain: true,
dataType: 'json',
data: null,
headers:
'Content-Type':'application/json; charset=utf-8',
'Token':'3C6E27D9-ACA7-47D9-BB8B-1C960813D79C'
,
success: function( result )
$( "Result:" ).html( "<strong>" + result + "</strong>" );
,
error: function( err )
$( "Result:" ).html( "<strong>" + err + "</strong>" );
);
</script>
请求服务后,我在响应中获得自定义标头(令牌、ApplicationPriviliges):
Cache-Control: private
Allow: GET
Content-Type: text/html; charset=UTF-8
Server: Microsoft-IIS/10.0
X-AspNet-Version: 4.0.30319
X-SourceFiles: =?UTF-8?B?RDpcVEZTXEdJVFxMaWZiaS5BcGkuQXV0aGVudGljYXRpb24uVGVzdFNlcnZpY2VcTGlmYmkuQXBpLlRva2VuVGVzdFNlcnZpY2VcU2VydmljZS5zdmNccmVzdFxHZXREYXRhQWRtaW4=?=
X-Powered-By: ASP.NET
Origin: localhost
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Token, ApplicationPriviliges
Access-Control-Max-Age: 1728000
Date: Mon, 05 Feb 2018 09:48:55 GMT
Content-Length: 1766
我发现的最佳解决方案是在网络服务器的配置中设置 customHeaders。但我不为我工作。
有人有想法吗?
非常感谢!
【问题讨论】:
可能是红鲱鱼。当服务器实际抛出 500 错误时,您可能会收到方法不允许错误。您能否从您访问的同一个域中运行相同的代码,从而使 CORS 无关紧要? 另外,当身份验证失败时,我通常会看到 CORS 错误。 该功能正在运行。我通过使用 SOAP 作为请求(第二个服务)来尝试它,当我将 URL 粘贴到我的浏览器中时它也可以工作。我的代码中的 auth 扩展名已禁用。 好的 - 谢谢。那我帮不上忙。我对 CORS 的体验很少,因为它通常对我来说“只是工作”。祝你的问题好运:) 【参考方案1】:您收到 405 Method not allowed 因为您的请求包含导致 Preflight 请求的标头 Token。预检请求使用 OPTIONS 方法,显然您的服务不允许使用此方法。
将 customHeaders 添加到 web.config 不足以使 Preflight 请求正常工作。服务器必须返回一个空的主体响应,其中包含一堆标头,告诉浏览器什么是允许的。
幸运的是,IIS 团队发布了 IIS CORS 模块,允许您在 web.config 中以声明方式配置 CORS。例如:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<cors enabled="true" failUnlistedOrigins="true">
<add origin="*" />
<add origin="https://*.microsoft.com"
allowCredentials="true"
maxAge="120">
<allowHeaders allowAllRequestedHeaders="true">
<add header="header1" />
<add header="header2" />
</allowHeaders>
<allowMethods>
<add method="DELETE" />
</allowMethods>
<exposeHeaders>
<add header="header1" />
<add header="header2" />
</exposeHeaders>
</add>
<add origin="http://*" allowed="false" />
</cors>
</system.webServer>
</configuration>
Here 你有一个introduction to IIS CORS Module.
您可以从here下载它
here 是文档。
不幸的是,它适用于完整的 IIS,而不适用于 IIS Express。但是,您可以配置您的 Visual Studio 解决方案以使用本地 IIS。您必须以管理员身份安装并执行 Visual Studio,但它可以工作。
【讨论】:
以上是关于CORS customheaders 不工作 405 Method Not Allowed的主要内容,如果未能解决你的问题,请参考以下文章