预检 CORS 请求未调用 WebApi DelegatingHandler

Posted 2023-02-27

【中文标题】预检 CORS 请求未调用 WebApi DelegatingHandler

【英文标题】：WebApi DelegatingHandler not called for preflight CORS requests

【发布时间】：2013-09-13 07:43:40

【问题描述】：

我正在尝试为我的 WebApi 控制器实现 CORS 支持，我正在遵循示例 here。

我的处理程序如下所示：

/// <summary>
/// Taken from http://blogs.msdn.com/b/carlosfigueira/archive/2012/02/20/implementing-cors-support-in-asp-net-web-apis.aspx
/// </summary>
public class CorsHandler : DelegatingHandler

    private const string Origin = "Origin";
    private const string AccessControlRequestMethod = "Access-Control-Request-Method";
    private const string AccessControlRequestHeaders = "Access-Control-Request-Headers";
    private const string AccessControlAllowOrigin = "Access-Control-Allow-Origin";
    private const string AccessControlAllowMethods = "Access-Control-Allow-Methods";
    private const string AccessControlAllowHeaders = "Access-Control-Allow-Headers";
    private const string AccessControlAllowCredentials = "Access-Control-Allow-Credentials";

    protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    
        var isCorsRequest = request.Headers.Contains(Origin);
        var isPreflightRequest = request.Method == HttpMethod.Options;
        if (isCorsRequest)
        
            if (isPreflightRequest)
            
                var response = new HttpResponseMessage(HttpStatusCode.OK);
                response.Headers.Add(AccessControlAllowOrigin, request.Headers.GetValues(Origin).First());

                var accessControlRequestMethod = request.Headers.GetValues(AccessControlRequestMethod).FirstOrDefault();
                if (accessControlRequestMethod != null)
                
                    response.Headers.Add(AccessControlAllowMethods, accessControlRequestMethod);
                

                var requestedHeaders = string.Join(", ", request.Headers.GetValues(AccessControlRequestHeaders));
                if (!string.IsNullOrEmpty(requestedHeaders))
                
                    response.Headers.Add(AccessControlAllowHeaders, requestedHeaders);
                
                response.Headers.Add(AccessControlAllowCredentials, "true");

                var tcs = new TaskCompletionSource<HttpResponseMessage>();
                tcs.SetResult(response);
                return response;
            

            var resp = await base.SendAsync(request, cancellationToken);
            resp.Headers.Add(AccessControlAllowOrigin, request.Headers.GetValues(Origin).First());
            resp.Headers.Add(AccessControlAllowHeaders, "*");
            resp.Headers.Add(AccessControlAllowCredentials, "true");
            return resp;
        
        return await base.SendAsync(request, cancellationToken);
    

在我的 WebApiConfig 类中，我正在像这样注册该处理程序：

config.MessageHandlers.Add(new CorsHandler());

它被“GET”请求调用。但是，对于任何需要飞行前批准的请求，它都不会被调用。请求如下所示：

Request OPTIONS /api/campaigns/1002/customerusers/1008 HTTP/1.1
Accept  */*
Origin  http://app.dev.alanta.com
Access-Control-Request-Method   DELETE
Access-Control-Request-Headers  accept
Accept-Encoding gzip, deflate
User-Agent  Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
Host    dev.payboard.com
Content-Length  0
DNT 1
Connection  Keep-Alive
Cache-Control   no-cache

但正如我所说，处理程序永远不会被调用 OPTIONS 动词。

我认为可能有其他处理程序在某个地方对此进行了干扰，但我已经删除了所有可能的候选人，到目前为止还没有运气。

我的另一个理论是它没有识别 OPTIONS 动词的特定路由，因此它永远不会将请求传递给 WebApi 子系统，而是在其他地方处理。但我并不完全清楚如何解决这个问题。

建议？

【问题讨论】：

this approach 到 CORS 怎么样？

我对此进行了研究，但我看到的主要问题（在我的简短探索中）是我需要能够在运行时动态指定“Access-Control-Allow-Origin”，因为设置将它设置为“*”会阻止您使用“Access-Control-Allow-Authentication”标头。也许它有办法做到这一点，但我没有发现它。

尝试将此添加到 web.config：<handlers> <remove name="WebDAV"/> <remove name="OPTIONSVerbHandler"/></handlers>

就是这样！具体来说，OPTIONSVerbHandler。把它放在一个答案中，我会给你信用。谢谢！

return response; ?恕我直言，应该是return tcs.Task

【参考方案1】：

将以下内容添加到 web.config：

<handlers>
    <remove name="OPTIONSVerbHandler" />
</handlers>