2

我已经阅读了我能找到的关于 ASP.NET Core 和 CORS 的所有内容,并且我相信我了解其中的大部分内容,但是,如果我能让它工作,我会被诅咒的。我用的是Chrome浏览器,数据如下:

预检:

General:
Request URL:http://localhost:34376/api/login
Request Method:OPTIONS
Status Code:204 No Content
Remote Address:[::1]:34376

Response Headers:
view source
Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:access-control-allow-origin,content-type
Access-Control-Allow-Origin:http://localhost:3000
Date:Wed, 23 Nov 2016 03:05:00 GMT
Server:Kestrel
Vary:Origin
X-Powered-By:ASP.NET
X-SourceFiles:=?UTF-8?B?QzpcUHJvamVjdHNcbXZjXFNob3BVc1NlcnZpY2Vcc3JjXFNob3BVc1NlcnZpY2VcYXBpXGxvZ2lu?=

Request Headers:
view source
Accept:*/*
Accept-Encoding:gzip, deflate, sdch, br
Accept-Language:en-US,en;q=0.8
Access-Control-Request-Headers:access-control-allow-origin, content-type
Access-Control-Request-Method:POST
Connection:keep-alive
Host:localhost:34376
Origin:http://localhost:3000
Referer:http://localhost:3000/authentication
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36

邮政:

Request URL:http://localhost:34376/api/login
Request Method:POST
Status Code:500 Internal Server Error
Remote Address:[::1]:34376

Response Headers:
view source
Content-Length:0
Date:Tue, 22 Nov 2016 03:11:40 GMT
Server:Kestrel
X-Powered-By:ASP.NET
X-SourceFiles:=?UTF-8?B?QzpcUHJvamVjdHNcbXZjXFNob3BVc1NlcnZpY2Vcc3JjXFNob3BVc1NlcnZpY2VcYXBpXGxvZ2lu?=

Request Headers:
view source
Accept:*/*
Accept-Encoding:gzip, deflate, br
Accept-Language:en-US,en;q=0.8
Access-Control-Allow-Origin:true
Connection:keep-alive
Content-Length:87
Content-Type:application/json
Host:localhost:34376
Origin:http://localhost:3000
Referer:http://localhost:3000/authentication
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36

Request Payload:
view source
{userName: "", email: "irv@testing.com", password: "!P@ssw0rd", rememberMe: false}
   email: "irv@testing.com"
   password: "!P@ssw0rd"
   rememberMe: false
   userName:""

ASP.NET 核心代码:

public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(options => {
        options.AddPolicy("CorsPolicy",
            builder => builder.AllowAnyOrigin()
            .AllowAnyMethod()
            .AllowAnyHeader()
            .AllowCredentials().Build() );
    });
    // Add framework services.
    services.AddApplicationInsightsTelemetry(Configuration);

    services.AddMvc();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    loggerFactory.AddConsole(Configuration.GetSection("Logging"));
    loggerFactory.AddDebug();

    app.UseCors("CorsPolicy");

    app.UseApplicationInsightsRequestTelemetry();

    app.UseApplicationInsightsExceptionTelemetry();

    app.UseMvc();
}

ASP.NET 核心控制器:

[EnableCors("CorsPolicy")]
[Produces("application/json")]
[Route("api/Authentication")]
public class AuthenticationController : Controller
{
    private IUnitOfWork _unitOfWork;
    public AuthenticationController(IUnitOfWork unitOfWork)
    {
        _unitOfWork = unitOfWork;
    }

    [HttpPost]
    [Route("/api/login")]
    public JsonResult Login([FromBody]LoginInfo loginInfo)
    {
        return Json(new { id_token = _unitOfWork.Users.CreateJwt(loginInfo) });
    }

这是角代码:

@Injectable()
export class AuthenticationService {
private _currentAdminMode: boolean = false;

constructor(private _http: Http, private _config: ConfigurationService) {
}

public login(logInfo: LoginInfo): Observable<TokenContainer> {
    var headers = new Headers();
    headers.append('Content-Type', 'application/json');

    //return an observable
    return this._http.post(this._config.hostPrefix + '/api/login', JSON.stringify(logInfo), { headers: headers })
        .map((response) => {
            return <TokenContainer>(response.json());
        });
}

我在浏览器控制台中遇到的确切错误是:

XMLHttpRequest cannot load http://localhost:34376/api/login. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:3000' is therefore not allowed access. The response had HTTP status code 500.

请注意,我从 POST 请求中收到 500 错误。如果出现 CORS 问题,这似乎不是服务器会发送的错误。我认为这是另外一回事,但是,所有这些代码都在单个域中工作,现在它是 CORS,有些事情正在变得混乱。无论如何,我已经阅读了我能找到的所有内容,但没有任何效果。我在想它可能与 WebAPI 路由有关。

谢谢你提供的所有帮助!

4

1 回答 1

7

好吧,我花了一天时间试图弄清楚如何处理几乎相同的问题。我将尝试描述更多信息:

我使用 netcoreapp1.0,基于 IIS 上的 WebAPI 的 RESTful 服务。前端:angular2。

在我的 Startup.cs 中:

// this is not much important, you can organize builder in Configure method, calling app.UseCors()
public void ConfigureServices(IServiceCollection services)
{   
    services.AddCors(options =>
            {
                options.AddPolicy("AllowSpecificOrigin",
                    builder => builder.WithOrigins("http://localhost:37885")
                    .AllowAnyMethod()
                    .AllowAnyHeader()
                    .AllowCredentials());
            });
    services.AddMvc();  
    services.Configure<MvcOptions>(options =>
    {
        options.Filters.Add(new CorsAuthorizationFilterFactory("AllowSpecificOrigin"));
    });
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    app.UseCors("AllowSpecificOrigin");
    app.UseMvc();    
}

当我在 Visual Studio 中运行此代码时,它运行良好。但是,一旦我在 IIS 上发布了我的 WebAPI 项目,我就遇到了麻烦:预检请求返回了Status "Code:204 No Content",而 POST 和 PUT 请求返回了"405 Method Not Allowed"

预检 CORS 请求的 204 状态

PUT 请求的 405 错误

当应用程序托管在 IIS 上时, AllowAnyMethod()似乎没有任何效果,因为从上图中我们可以看到,只允许GET、HEAD、OPTIONS、TRACE 。

为了测试这个东西并消除对 Angular 和 Web API 的怀疑,我创建了测试脚本并在 Chrome 开发者控制台中运行它:

var xmlHttp = new XMLHttpRequest(); //returns a XMLHttpRequest object
xmlHttp.open('PUT', "http://localhost:27895/api/usergroups/58c624eb54d98519e85c5771", true);
xmlHttp.setRequestHeader('Content-Type', "application/json");  
xmlHttp.send(JSON.stringify({"id":"58c624eb54d98519e85c5771","Name":"Группа первооткрывателей"}));

从我的角度客户端页面运行此脚本时,我遇到了同样的问题。比我从托管 WebApi 的同一来源运行此脚本(以检查没有 COR 的 webAPI)。我有一个错误,告诉我现场不允许使用 PUT 方法!

最后,我找到了解决方案:问题出在 IIS 上的 WebDAV 模块中,与我的 RESTful services 冲突。我在 IIS 上从我的 webAPI 站点中删除了 WEBDAV 模块,现在它运行良好:

从我的角度站点运行的跨域放置请求现在返回 200 状态

去做这个:

  1. 在 IIS 上选择您的 WebAPI 站点
  2. 打开“模块”
  3. 查找并删除 WebDAV 选项

也为您的 webApi 站点从 IIS 上的处理程序映射中删除 WebDAV 选项。

如果您想了解更多关于 WEBDAV 和 Web API 冲突的说明,这些主题会很有用:

论坛 iis.net ,论坛 asp.net

事实证明,WebDav 处理程序和模块在下一次发布后再次出现在 IIS 中。因此,要防止站点这样做,请修改 WebAPI 应用程序的 web.config,如下所示:

<handlers>
   <remove name="WebDAV" />
</handlers>
<modules>
   <remove name="WebDAVModule" />
</modules>

这个话题帮助我弄清楚了。

于 2017-03-14T06:12:25.120 回答