如何在 ASPNET.Core Web 应用程序中发送带有 CORS 标头的 HTTP 4xx-5xx 响应？

Posted 2023-03-04

【中文标题】如何在 ASPNET.Core Web 应用程序中发送带有 CORS 标头的 HTTP 4xx-5xx 响应？

【英文标题】：How to send an HTTP 4xx-5xx response with CORS headers in an ASPNET.Core web app?

【发布时间】：2018-04-23 19:32:49

【问题描述】：

我有一个标准的 ASP.NET Core 2 Web 应用程序作为 REST/WebApi。对于我的一个端点，当用户提供错误的搜索/过滤查询字符串参数时，我会返回 HTTP 400。

与 POSTMAN 完美搭配。但是，当我尝试使用我的 SPA 应用程序（实际上是跨域并因此执行 CORS 请求）对此进行测试时，我在 Chrome 中遇到了故障。

向返回 HTTP 200 响应的端点发出 CORS 请求时，一切正常。

看起来我的错误处理没有考虑到 CORS 的东西（即不添加任何 CORS 标头）并且不包括在内。

我猜我搞砸了响应负载管道的东西。

问：有没有一种方法可以更正返回自定义错误处理中的任何 CORS 标头信息，而无需对标头进行硬编码，而是使用在 Startup.cs 中的 Configure/ConfigureServices 方法中设置的标头内容？强>

伪代码..

public void ConfigureServices(IServiceCollection services)

    ... snip ...

    services.AddMvcCore()
        .AddAuthorization()
        .AddFormatterMappings()
        .AddJsonFormatters(options =>
        
            options.ContractResolver = new CamelCasePropertyNamesContractResolver();
            options.Formatting = Formatting.Indented;
            options.DateFormatHandling = DateFormatHandling.IsoDateFormat;
            options.NullValueHandling = NullValueHandling.Ignore;
            options.Converters.Add(new StringEnumConverter());
        )
        .AddCors(); // REF: https://docs.microsoft.com/en-us/aspnet/core/security/cors#setting-up-cors

    ... snip ...


public void Configure(IApplicationBuilder app, IHostingEnvironment env)

    ... snip ...

    app.UseExceptionHandler(options => options.Run(async httpContext => await ExceptionResponseAsync(httpContext, true)));

    app.UseCors(builder => builder//.WithOrigins("http://localhost:52383", "http://localhost:49497")
                                .AllowAnyOrigin()
                                .AllowAnyHeader()
                                .AllowAnyMethod());

    ... snip ...


private static async Task ExceptionResponseAsync(HttpContext httpContext, bool isDevelopmentEnvironment)

    var exceptionFeature = httpContext.Features.Get<IExceptionHandlerPathFeature>();
    if (exceptionFeature == null)
    
        // An unknow and unhandled exception occured. So this is like a fallback.
        exceptionFeature = new ExceptionHandlerFeature
        
            Error = new Exception("An unhandled and unexpected error has occured. Ro-roh :~(.")
        ;
    

    await ConvertExceptionToJsonResponseAsyn(exceptionFeature,
                                                httpContext.Response, 
                                                isDevelopmentEnvironment);


private static Task ConvertExceptionToJsonResponseAsyn(IExceptionHandlerPathFeature exceptionFeature,
    HttpResponse response,
    bool isDevelopmentEnvironment)

    if (exceptionFeature == null)
    
        throw new ArgumentNullException(nameof(exceptionFeature));
    

    if (response == null)
    
        throw new ArgumentNullException(nameof(response));
    

    var exception = exceptionFeature.Error;
    var includeStackTrace = false;
    var statusCode = HttpStatusCode.InternalServerError;
    var error = new ApiError();

    if (exception is ValidationException)
    
        statusCode = HttpStatusCode.BadRequest;
        foreach(var validationError in ((ValidationException)exception).Errors)
        
            error.AddError(validationError.PropertyName, validationError.ErrorMessage);
        
    
    else
    
        // Final fallback.
        includeStackTrace = true;
        error.AddError(exception.Message);
    

    if (includeStackTrace &&
        isDevelopmentEnvironment)
    
        error.StackTrace = exception.StackTrace;
    

    var json = JsonConvert.SerializeObject(error, JsonSerializerSettings);
    response.StatusCode = (int)statusCode;
    response.ContentType = JsonContentType;
    // response.Headers.Add("Access-Control-Allow-Origin", "*"); <-- Don't want to hard code this.
    return response.WriteAsync(json);

干杯！

【参考方案1】：

在ExceptionHandler中间件中，Response在被传递到你自己的中间件函数之前被清除，如source所示：

try

    await _next(context);

catch (Exception ex)

    // ...
    context.Response.Clear();

    // ...
    await _options.ExceptionHandler(context);

    // ..

当然，这意味着任何可能针对 CORS 设置的响应标头也是 being cleared。

以下代码插入到通用 CORS 系统中，我相信似乎可以满足您的要求，即可以使用来自 ConfigureServices 的配置：

var corsService = httpContext.RequestServices.GetService<ICorsService>();
var corsPolicyProvider = httpContext.RequestServices.GetService<ICorsPolicyProvider>();
var corsPolicy = await corsPolicyProvider.GetPolicyAsync(httpContext, null);

corsService.ApplyResult(
    corsService.EvaluatePolicy(httpContext, corsPolicy),
    httpContext.Response);

GetPolicyAsync 将策略的名称作为第二个参数 - 如果这是 null（如我的示例中所示），它将使用默认策略（如果已设置）。

我没有在代码示例中包含空值检查或任何内容，以便保持重点，但这种方法在我构建的测试项目中有效。

这种方法深受 Microsoft.AspNetCore.Mvc.Cors 中的CorsAuthorizationFilter 源代码的影响。

编辑：您没有在示例代码中使用命名策略，但您可以使用以下命令切换到一个：

.AddCors(corsOptions => corsOptions.AddPolicy(
    "Default",
    corsPolicyBuilder => corsPolicyBuilder
        .AllowAnyOrigin()
        .AllowAnyHeader()
        .AllowAnyMethod()));

这使用AddPolicy - 我在 cmets 中提到了AddDefaultPolicy，但看起来这不在当前版本中，因此尚不可用。通过上述更改，您可以像这样调用UseCors：

app.UseCors("Default");

最后的更改是在您的异常处理代码中更新为以下内容：

await corsPolicyProvider.GetPolicyAsync(httpContext, "Default");

您最好为此使用某种 const 字符串，尤其是因为它可能都从同一个文件运行。这里的主要变化是不再尝试使用默认命名策略，因为我正在查看 GitHub 上尚未发布的源代码的当前版本。

【讨论】：

哇哦！很棒的皮卡！好的，所以我尝试了corsPolicy = await corsPolicyProvider.GetPolicyAsync(httpContext, null); 位，但一直返回null（这会导致ApplyResult 崩溃。我没有手动设置任何策略名称，我认为这意味着代码默认为DefaultPolicyName ...因此将null 传递给GetPolicyAsync 应该使用默认名称...并从中解决？

看起来你最终是here，在那里你可以看到名称设置为null，而不是默认值。为了让它工作，看起来你可以在AddCors中使用AddDefaultPolicy而不是AddPolicy（假设你使用的是AddPolicy）。

嗯...我想如果我没有添加策略名称（实际上我没有）.. 那么它会默认为默认策略名称吗？另外，我也找不到任何AddDefaultPolicy ....。

用代码更新了 OP。我实际上只是按照 MS 文档的说明进行操作：docs.microsoft.com/en-us/aspnet/core/security/…

有趣——CORS repo 中存在一个关于此的问题。参考：github.com/aspnet/CORS/issues/90 我刚刚也为该问题添加了更多信息。