在 ASP.Net Core 5 WebAPI 中启用 CORS
Posted
技术标签:
【中文标题】在 ASP.Net Core 5 WebAPI 中启用 CORS【英文标题】:Enable CORS in ASP.Net Core 5 WebAPI 【发布时间】:2021-04-09 06:31:40 【问题描述】:有数以百万计的文章和问题与此问题相关,但我找不到我的代码有什么问题。我有Startup、StartupProduction 和StartupDevelopment,如下所示。另外,我正在使用ASP.Net Core 5,基于documentation,我认为我这样做是正确的。
仅供参考,起初我使用AllowAnyOrigin 进行开发,但我也测试了.WithOrigins("http://localhost:3000"),它工作正常。我的后端在开发中运行在 https://localhost:44353 下,在生产中运行在 https://api.example.com 下。
public class Startup
protected const string CorsPolicyName = "CorsPolicyName";
public virtual void ConfigureServices(IServiceCollection services)
services.AddControllers()
.AddJsonOptions(options =>
options.JsonSerializerOptions.Converters.Add(
new System.Text.Json.Serialization.JsonStringEnumConverter());
);
services.AddABunchOfOtherServices();
public virtual void Configure(IApplicationBuilder app, IWebHostEnvironment env)
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseCors(CorsPolicyName);
app.UseAuthentication();
app.UseAuthorization();
app.UseMiddleware<CheckUserConfirmedMiddleware>();
app.UseEndpoints(endpoints =>
endpoints.MapControllerRoute
(
name: "default",
pattern: "controller=Home/action=Index/id?"
)
.RequireCors(CorsPolicyName);
);
public class StartupProduction : Startup
public override void ConfigureServices(IServiceCollection services)
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy => policy
.WithOrigins("https://example.com", "http://example.com")
//.WithOrigins(Configuration.GetValue<string>("AllowedHosts").Split(';').ToArray())
.AllowAnyMethod()
.AllowAnyHeader());
);
base.ConfigureServices(services);
public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
app.UseMiddleware(typeof(ErrorHandlingMiddleware));
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
base.Configure(app, env);
public class StartupDevelopment : Startup
public override void ConfigureServices(IServiceCollection services)
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy =>
policy
//.AllowAnyOrigin()
.WithOrigins("http://localhost:3000")
.AllowAnyMethod()
.AllowAnyHeader()
)
);
base.ConfigureServices(services);
services.AddSwaggerGen(....);
public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
app.UseMiddleware<DevelopmentErrorHandlingMiddleware>();
base.Configure(app, env);
app.UseSwagger();
app.UseSwaggerUI(options =>
options.SwaggerEndpoint("swagger/v1/swagger.json", "API v1");
options.RoutePrefix = string.Empty;
);
我也试过default policy。
更新
我已在 Visual Studio 中将 Environment 设置为 Production 以对其进行调试,现在我在开发中面临同样的问题。
CORS 策略已阻止从源“http://localhost:3000”获取“https://localhost:44353/api/v1/User”的访问权限:对预检请求的响应未通过访问控制检查:请求的资源上不存在“Access-Control-Allow-Origin”标头。如果不透明的响应满足您的需求,请将请求的模式设置为“no-cors”以获取禁用 CORS 的资源。
解决方法
我注意到是 IIS 阻止了请求。它仅在我的appsettings.json 中有"AllowedHosts": "*", 时才有效。因此,作为一种解决方法,我在appsettings.json 中添加了"MyRandomKey": "https://example.com",,并在Startup 中使用以下内容。
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy =>
policy
.WithOrigins(Configuration.GetValue<string>("MyRandomKey").Split(";").ToArray())
.AllowAnyMethod()
.AllowAnyHeader()
)
);
【问题讨论】:
【参考方案1】:AllowedHosts 和 CORS 不同。
AllowedHosts 用于主机过滤,因此即使您在应用程序中配置了 CORS 策略但不允许主机,IIS 也会拒绝该请求。
请参考此链接: Difference between AllowedHosts in appsettings.json and UseCors in .NET Core API 3.x
默认情况下它是 * 但您可以根据自己的要求更改它。 在您的情况下,您可以设置“api.example.com”,或者如果您还想从 localhost 允许,则可以设置“api.example.com;localhost”。 设置后,IIS 将开始接受来自这些域的请求。
一旦 IIS 开始接受请求,您的应用程序级别配置的 CORS 策略将被应用并工作。 所以基本上 CORS 是允许访问 WebAPI 中的资源。
【讨论】:
谢谢@WebDev512。您是绝对正确的,但 IIS 不接受来自AllowedHosts 中列出的域的请求。我在 Workaround 部分中提到了这一点。该问题与我机器上安装的hosting bundle 有关。
哦,好的。我希望您已经根据 .Net Core 运行时版本安装了 Hosting Bundler。无论如何,它现在工作了吗?【参考方案2】:
我认为没关系,而且,您可以从 DB 或 JSON 文件中获取来源。还, 你可以使用 ActionFilterAttribute 和这部分代码
var csp = "default-src 'self' http://localhost:3000; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self';";
if (!context.HttpContext.Response.Headers.ContainsKey("Content-Security-Policy"))
context.HttpContext.Response.Headers.Add("Content-Security-Policy", csp);
if (!context.HttpContext.Response.Headers.ContainsKey("X-Content-Security-Policy"))
context.HttpContext.Response.Headers.Add("X-Content-Security-Policy", csp);
【讨论】:
谢谢@hmd.nikoo,看起来没问题,但它只适用于开发,不适用于生产。 如果我没记错的话,你想在产品模式下更改 URL。您可以使用 appsettings.json 和 appsettings.Development.json 在它们之间切换。通过使用 ActionFilterAttribute,您有机会管理安全风险并将策略用于特定操作。【参考方案3】:来自this doc about CORS preflight request,您可以找到以下信息:
CORS 预检请求用于确定所请求的资源是否设置为由服务器跨源共享。并且 OPTIONS 请求始终是匿名的,如果未启用匿名身份验证,服务器将无法正确响应预检请求。
从源访问“https://localhost:44353/api/v1/User”获取 “http://localhost:3000”已被 CORS 策略阻止:响应 预检请求未通过访问控制检查:否 请求中存在“Access-Control-Allow-Origin”标头 资源。如果不透明的响应满足您的需求,请设置请求的 模式为“no-cors”以获取禁用 CORS 的资源。
要解决上述问题,如果您在本地运行应用程序以使用 CORS 进行测试,您可以尝试启用匿名身份验证。
此外,如果您的应用托管在 IIS 上,您可以尝试安装 IIS CORS module 并为应用配置 CORS。
【讨论】:
我这里提到的用户API只是示例,我的其他不需要认证的操作,结果相同。但我需要检查 IIS CORS 模块。以上是关于在 ASP.Net Core 5 WebAPI 中启用 CORS的主要内容,如果未能解决你的问题,请参考以下文章
ASP.NET Core 5 MVC/RazorPages 和 WebAPI 项目在同一个解决方案中
[WebApi]ASP.Net Core 中使用JWT认证(3.1版本,5.0也可以使用)
[WebApi]ASP.Net Core 中使用JWT认证(3.1版本,5.0也可以使用)
在 ASP.NET Core 5.0 Web API 中实现 DelegatingHandler?